WordPress 2.6.5が緊急リリースされた。WordPress.orgのリリース内容を読むと、今回のリリースは一つのセキュリティ問題と三つのバグが修正されるということだ。WordPress 2.6.5のダウンロードはこちらから(WordPress 2.6.5 日本語版リリースのお知らせ)。更新内容の詳細は以下の通り。
今回のセキュリティ問題は、Jeremias Reithによって発見された、Apache 2.xで動作するIPベースのバーチャルサーバーのみで影響を与えるXSSの脆弱性と、いうことだ。WordPress 2.6.5では、このXSSに加えて、3つのバグが修正されている。一つ目はpost meta情報をリビジョンに保存するのを妨げるというもの。二つ目は、XML-RPCが誤ったpost typeを取得するのを防ぐというもの。3つ目はまとめて削除する場合のuser IDのサニタイズの追加である。コードの変更箇所はこちらで確認できる。
今回のバージョンがWordPress 2.6.3から2.6.5に飛んだ理由についてだが、出回っている偽WordPress 2.6.4との混同を避けるためらしい。この偽バージョンのWordPress 2.6.4はどうやらトロイの木馬が仕掛けられているようだ。
WordPress 2.7のリリースが目前に迫っているが、今回のWordPress 2.6.5へのアップグレードはセキュリティフィックスを含んでおり、なるべく早くアップグレードしておくとよいだろう。