WordPress でアップデートがあり、最新版 5.4.1 が公開されました。このリリースにはいくつかの脆弱性改善があります。今回はその中の一つ、

Props to ka1n4t for finding an issue where certain private posts can be viewed unauthenticated

を取り上げます。

パーマリンク設定を「年月日時分秒」にしていた人は必ず読んでね。

非公開の投稿が閲覧できた(5.4以前の脆弱性)

WordPress5.4以前では、特定の条件で、非公開記事がログインしなくても閲覧できる、という脆弱性がありました。この記事を執筆している時点(5月2日午前8時)では、条件の詳細は公開されていませんでしたが、こちらで検証すると、少なくとも以下の状態だと発生しました。

パーマリンク設定を日時だけにしている(= ID・スラッグなど一意にする項目が無い)
AND
同じ日時で、公開記事と非公開記事を投稿する

なので、/%year%/%monthnum%/%day/%hour%%minute%%second%/ など、日時だけのパーマリンク設定にしていた方は、アップデート後に対処が必要になります。

続きは弊社ウェブサイトの記事をごらんください。