WordPress 3.0.2

WordPress.org が11月30日、最新版『WordPress 3.0.2』の配布を開始した。新版はいくつものセキュリティ脆弱性に対策を施しているが、衝撃的なのは、それらのいずれにも (現時点においては) 共通脆弱性識別子 (CVE) 番号が付されていないことだ。
今回対処したセキュリティ ホールの1つは、クロスサイト スクリプティング (XSS) の脆弱性だ。これは、プラグインを削除する際にユーザーを脅威にさらすおそれがあるものだ。
また、「悪意を持つソフトウェア作者レベルのユーザーにサイトへのさらなるアクセスを許しかねない、(深刻度が) 中程度のセキュリティ脆弱性」と WordPress が表現する脆弱性にも対応している。そう、WordPress 3.0.2 に更新しないかぎり、自分のサイトの管理者権限を別のユーザーに奪取されるおそれがあるということだ。

http://japan.internet.com/webtech/20101202/12.html