米コンピュータ緊急事態対策チーム(US-CERT: United States Computer Emergency Readiness Team)は9月10日(現地時間)、「WordPress Releases Security Update|CISA」において、WordPressの5.4から5.8までのバージョンに複数の脆弱性が報告され、セキュリティアップデートとしてバージョン5.8.1がリリースされたことを伝えた。これらの脆弱性を放置すると、対象のシステムに対する情報の窃取やクロスサイトスクリプティング(XSS)攻撃などに悪用される危険性があるという。

WordPress 5.8.1における変更内容に関する情報は、公式ブログの次のエントリにまとめられている。

  • News – WordPress 5.8.1 Security and Maintenance Release

    News – WordPress 5.8.1 Security and Maintenance Release

これによると、WordPress 5.8.1には次の3件のセキュリティ問題に対する修正が含まれているという。

  • REST API内のデータ公開に関する脆弱性
  • ブロックエディタにおけるXSS脆弱性
  • セキュリティ修正を含んだLodashライブラリ 4.17.21へのアップデート

バージョン5.4から5.8までがこれらの問題の影響を受ける。まだ5.8に更新していない場合は、5.4以降のすべてのバージョンが5.8.1にアップデートされるという。

WordPress 5.8.1には、上記3件のセキュリティ修正のほかに、60個以上のバグ修正が含まれているとのこと。米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は、上記のアップデート情報を確認した上で必要に応じてアップデートを適用することを推奨している。