先週、Wordfenceから報告されたセキュリティの問題に対処するため、WPML 4.6.13とWPML Multilingual & Multicurrency for WooCommerce 5.3.7をリリースしました。このセキュリティ修正の詳細と、お客様のサイトのセキュリティに関する影響についてご説明いたします。
経緯
WPMLでは、セキュリティを最優先事項として、お客様のウェブサイトの安全性と保護を確実にすることに全力を尽くしています。今回の修正では、WordPressセキュリティコミュニティで最も信頼されている企業の一つであるWordfenceと緊密に協力しました。
Wordfenceは7月にWPMLの問題について連絡してきましたが、残念ながらメッセージがスパムフォルダに入ってしまい、しばらく気付きませんでした。幸い、8月に再度連絡があり、直ちに脆弱性に対処し、Wordfenceに検証用のパッチ適用版を提供しました。
優れたパートナーかつ専門家であるWordfenceは、その過程で別の軽微なXSS脆弱性も報告してくれ、それについても直ちに修正を行いました。
その間、PatchstackからもWPML Multilingual & Multicurrency for WooCommerceについて同様の脆弱性の報告を受けました。
修正が全ての検証をパスしたことを確認した後、8月20日にWPML 4.6.13とWooCommerce 5.3.7をリリースしました。
Wordfenceの重要な役割
これらの脆弱性の特定と修正に多大な協力をいただいたWordfenceに感謝申し上げます。当社およびWordPressエコシステム全体にとって、彼らの貢献の重要性は計り知れません。
最初の報告のフォローアップと、修正プロセス全体を通じての協力は、WordPressコミュニティへの彼らの献身的な姿勢を示しています。
この脆弱性の仕組みとその影響について
一部のオンライン記事では、この問題を100万以上のサイトに影響を与える「重大な脆弱性」として説明しています。セキュリティが重要な問題であることは完全に同意しますが、実際の状況でこの脆弱性がどのように機能するかを明確にすることが重要です。
この脆弱性を悪用するには、攻撃者がWordPressサイトで編集権限を持っている必要があります。つまり、対象サイトで投稿者以上の権限を持つユーザーロールが必要です。
つまり、深刻度は、サイトにどのようなユーザーがいるかによって変わってきます。あなたとチームだけが管理者/作成者/編集者である場合、チーム外の人物がこの脆弱性を悪用することはできません。
一方、投稿者レベルのアクセス権を持つユーザーがいて、その人物を個人的に知らない場合は、リスクが高くなる可能性があります。
最後に、WPMLユーザーの大多数が危険にさらされることは一度もなかったことを強調したいと思います。パッチはWordfenceと緊密に協力して開発、テスト、リリースされ、問題は完全に解決されました。
いつものように、WPMLとWPML Multilingual & Multicurrency for WooCommerceを常に最新の状態に保つことを強く推奨します。
ご不安がある場合
最近の報告で不安を感じられたユーザーやパートナーの皆様に、心配する必要がないことをお伝えします。問題は迅速かつ効果的に解決され、実際に悪用された形跡はありません。
ご質問やご不明な点がございましたら、お気軽にお問い合わせください。
私たちは、お客様のウェブサイトのセキュリティと、Wordfenceおよび他のセキュリティ専門家との継続的な協力に引き続き取り組んでまいります。
WPMLをご信頼いただき、ありがとうございます。
WPMLチーム