以下は、Peter Wilson が書いた WordPress.org 公式ブログの記事「WordPress 5.7.2 Security Release」を訳したものです。

誤字脱字誤訳などありましたらフォーラムまでお知らせください。

---

WordPress 5.7.2 がリリースされました。

これは1件の修正を含んだセキュリティリリースです。セキュリティリリースですのであなたが管理するサイトを今すぐ更新してください。WordPress 3.7 以降の全メジャーバージョンに対しても同様のセキュリティリリースが出されています。

WordPress 5.7.2 はショートサイクルのセキュリティリリースです。次のメジャーリリースはバージョン 5.8 です。

WordPress 5.7.2 は WordPress.org からダウンロードするか、ダッシュボード > 更新 メニューで 今すぐ更新 をクリックして更新できます。

自動バックグラウンド更新がサポートされたサイトではすでに更新のプロセスが始まっているでしょう。

セキュリティ更新

バージョン 3.7 から 5.7 にかけての全バージョンの WordPress に影響するセキュリティ問題が確認されました。

• PHPMailer におけるオブジェクトインジェクション。CVE-2020-36326 ならびに CVE-2018-19296。

WordPress セキュリティチームにより WordPress にこれらの修正が実装されました。

より詳しい情報は 5.7.2 の HelpHub ドキュメンテーションページを確認してください。

感謝と称賛を

(翻訳者より: 日本語版では貢献者全員の名前を載せることができませんので、オリジナルの英語版リリース告知をぜひ参照してください。)

以下は、Peter Wilson が書いた WordPress.org 公式ブログの記事「WordPress 5.7.1 Security and Maintenance Release」を訳したものです。

誤字脱字誤訳などありましたらフォーラムまでお知らせください。

---

WordPress 5.7.1 が利用可能になりました。

これは2点のセキュリティ修正と26点のバグ修正を含んだセキュリティとメンテナンスのリリースです。セキュリティ修正を含むものですので、今すぐサイトを更新することを勧めます。WordPress 4.7 以降の全メジャーバージョンの更新も併せて行われています。

WordPress 5.7.1 は短いサイクルでのセキュリティとメンテナンスのリリースです。次のメジャーバージョンリリースは 5.8 になります。

WordPress 5.7.1 は WordPress.org からダウンロードするか、ダッシュボード > 更新 メニューで 今すぐ更新 をクリックして更新できます。

自動バックグラウンド更新がサポートされたサイトではすでに更新のプロセスが始まっているでしょう。

セキュリティ更新

バージョン 4.7 から 5.7 までのすべての WordPress に影響する2点のセキュリティ問題が修正されました:

• SonarSource により報告された、PHP 8 環境で発生するメディアライブラリの XXE 脆弱性。
• Mikael Korpela により報告された、REST API のデータ露出脆弱性。

非公開での脆弱性情報提供にご理解くださった報告者の皆さんに感謝します。それによってセキュリティチームは時間を稼ぐことができ、実際に WordPress サイトが攻撃を受けるより前に脆弱性を修正することができました。

これらの問題に関して、Adam Zielinski、Pascal Birchler、Peter Wilson、Juliette Reinders Folmer、Alex Concha、Ehtisham Siddiqui、Timothy Jacobs、そして WordPress セキュリティチームの多大な貢献がありました。

より詳しい情報は、Trac 上の変更点の完全なリストを参照、または 5.7.1 の HelpHub ドキュメンテーションページを確認してください。

感謝と称賛を

(翻訳者より: 日本語版では貢献者全員の名前を載せることができませんので、オリジナルの英語版リリース告知をぜひ参照してください。)

以下は、Jake Spurlock が書いた WordPress.org 公式ブログの記事「WordPress 5.4.2 Security and Maintenance Release 」を訳したものです。

誤字脱字誤訳などありましたらフォーラムまでお知らせください。

---

WordPress 5.4.2がリリースされました!

このセキュリティとメンテナンスのリリースには、23の修正と機能強化が含まれています。さらに、いくつかのセキュリティ修正が追加されていますので、詳しくは以下のリストを参照してください。

これらのバグは WordPress バージョン 5.4.1 とそれ以前のバージョンに影響を与えます。バージョン 5.4.2 ではそれらが修正されているので、アップグレードしてください。

まだ 5.4 にアップデートしていない場合は、5.3 とそれ以前のバージョンでもバグが修正されたアップデートがあります。

セキュリティアップデート

WordPress のバージョン 5.4 やそれ以前のバージョンでは、以下のバグの影響を受けており、バージョン 5.4.2 で修正されています。まだ 5.4 にアップデートしていない場合は、セキュリティ問題を修正した 5.3 やそれ以前のバージョンもあります。

• Sam Thomas (jazzy2fives) は、権限の低い認証済みユーザーがブロックエディタの投稿に JavaScript を追加できるという XSS の問題を発見してくれました。
• アップロード権限を持つ認証済みユーザがメディアファイルに JavaScript を追加できる XSS 問題を発見した Luigi – (gubello.me) に感謝します。
• wp_validate_redirect() のオープンリダイレクトの問題を発見してくれた WordPress セキュリティチームの Ben Bidner に感謝します。
• テーマのアップロードで認証済み XSS の問題を発見した Nrimo Ing Pandum に感謝します。
• set-screen-option がプラグインによって悪用されて権限昇格されうる問題を発見してくれた Simon Scannell of RIPS Technologies に感謝します。
• パスワードで保護された投稿やページのコメントが特定の条件下で表示されうる問題を発見した Carolina Nymark に感謝します。

脆弱性を非公開で報告してくれた報告者の皆さんに感謝します。これにより、セキュリティチームは WordPress サイトが攻撃される前に脆弱性を修正する時間を確保することができました。

また、バージョン5.1、5.2、5.3にもメンテナンスアップデートが1件反映されました。詳細は関連する開発者ノートを参照してください。

Trac で変更点の全リストを閲覧することができます。

詳細については、Trac で変更点の全リストを閲覧するか、バージョン 5.4.2 のドキュメントページをチェックしてください。

WordPress 5.4.2 はショートサイクルメンテナンスリリースの一つです。次のメジャーリリースはバージョン 5.5になります。

WordPress 5.4.2 は、このページの上部にあるボタンからダウンロードするか、ダッシュボード→更新を開いて、今すぐ更新をクリックしてください。

バックグラウンドの自動更新に対応しているサイトであれば、すでに更新作業が開始されています。

感謝と敬意を!

上記のセキュリティ研究者の方々に加え、WordPress 5.4.2の実現にご協力いただいた皆様、ありがとうございました。

Andrea Fercia, argentite, M Asif Rahman, Jb Audras, Ayesh Karunaratne, bdcstr, Delowar Hossain, Rob Migchels, donmhico, Ehtisham Siddiqui, Emilie LEBRUN, finomeno, garethgillman, Giorgio25b, Gabriel Maldonado, Hector F, Ian Belanger, Aaron Jorbin, Mathieu Viet, Javier Casares, Joe McGill, jonkolbert, Jono Alderson, Joy, Tammie Lister, Kjell Reigstad, KT, markusthiel, Mayank Majeji, Mel Choyce-Dwan, mislavjuric, Mukesh Panchal, Nikhil Bhansi, oakesjosh, Dominik Schilling, Arslan Ahmed, Peter Wilson, Carolina Nymark, Stephen Bernhardt, Sam Fullalove, Alain Schlesser, Sergey Biryukov, skarabeq, Daniel Richards, Toni Viemerö, suzylah, Timothy Jacobs, TeBenachi, Jake Spurlock そして yuhin。

以下は、Jake Spurlock が書いた WordPress.org 公式ブログの記事「WordPress 5.4.1」を訳したものです。

誤字脱字誤訳などありましたらフォーラムまでお知らせください。

---

WordPress 5.4.1 がご利用いただけるようになりました。

このセキュリティとメンテナンスのリリースには、7つのセキュリティ修正に加え、17のバグ修正が含まれています。セキュリティリリースですので、すぐにサイトを更新することをお勧めします。WordPress 3.7 以降のすべてのバージョンも更新されています。

WordPress 5.4.1 は短期サイクルのセキュリティとメンテナンスのリリースです。次のメジャーリリースはバージョン 5.5 となります。

WordPress 5.4.1 を入手するには WordPress.org からダウンロード、または、「ダッシュボード」→「更新」から「今すぐ更新」をクリックします。

自動バックグラウンド更新に対応しているサイトであれば、すでに更新プロセスが開始されています。

セキュリティ更新

7つのセキュリティの問題が WordPress 5.4 とそれ以前のバージョンに影響を与えています。5.4 への更新をまだ行っていない場合、3.7 以降のすべての WordPress バージョンでも以下のセキュリティ問題が修正されています。

• パスワードリセットトークンが適切に無効化されない問題（Muaz Bin Abdus Sattar と Jannes の個別報告）
• 特定のプライベートな投稿が認証されていない状態で閲覧できてしまう問題（ka1n4t の報告）
• カスタマイザーの XSS 問題（Evan Ricafort の報告）
• 検索ブロックの XSS 問題（WordPress セキュリティチーム Ben Bidner の報告）
• wp-object-cache の XSS 問題（WordPress VIP / WordPress セキュリティチーム Nick Daugherty の報告）
• ファイルアップロードの XSS 問題（Ronnie Goodrich（Kahoots）と Jason Medeiros の個別報告）
• カスタマイザーに保存された XSS 脆弱性（Weston Ruter により修正）
• さらに WordPress 5.4 RC1 と RC2 のブロックエディターの認証済み XSS 問題（Nguyen The Duc（ducnt）の報告）が 5.4 RC5 で修正されました。WordPress をより安全にするために行われたすべての作業に対しクレジットと謝意を示したいと思います。

非公開で脆弱性情報を開示してくださった報告者の皆様、ありがとうございました。これにより、セキュリティチームは WordPress サイトが攻撃される前に脆弱性を修正する時間を得ることができました。

詳細については、Trac で変更点の全リストを参照するか、バージョン 5.4.1 の HelpHub ページを確認してください。

上記セキュリティ研究者の方々に加え、WordPress 5.4.1 にご協力いただいた皆様、ありがとうございました。

（訳注: 貢献者一覧は元記事を参照してください。）

以下は、Jb Audras が書いた WordPress.org 公式ブログの記事、「WordPress 5.3.1 Security and Maintenance Release」を訳したものです。

誤字脱字誤訳などありましたらフォーラムまでお知らせください。

---

WordPress 5.3.1 が利用可能になりました。

これはセキュリティとメンテナンスのためのリリースです。46件の修正と改良が行われています。加えて多数のセキュリティ修正も加えられました。詳しくは下記のリストを参照してください。

WordPress 5.3.1 は短期のメンテナンスリリースです。次のメジャーリリースはバージョン5.4になる予定です。

WordPress 5.3.1 をダウンロードするにはこのページの上部にあるボタンをクリックします。または、管理画面メニュー「ダッシュボード」→「更新」から「今すぐ更新」をクリックします。

自動バックグラウンド更新をサポートしているサイトではすでに更新プロセスが始まっているでしょう。

セキュリティ更新

WordPress 5.3.1 では 5.3 以前のバージョンに影響する4件のセキュリティ問題が修正されています。5.3 より古いバージョンをお使いの場合でも、これらのセキュリティ修正が反映された更新バージョンがリリースされているので更新をお勧めします。

• 権限のないユーザーに REST API 経由での先頭固定投稿を許してしまう問題 (Daniel Bachhuber による報告)。
• 巧妙に手が加えられたリンクを用いたクロスサイトスクリプティング (XSS) 脆弱性の問題 (RIPS Technologies 所属 Simon Scannell による報告)。
• WordPress.org セキュリティチームによる wp_kses_bad_protocol() の強化。これにより名前付きコロン属性が適切に処理される。
• ブロックエディター本文を用いた格納型 XSS 脆弱性 (Nguyen The Duc による報告)。

メンテナンス更新

• 管理画面: フォーム制御項目の高さと揃えの標準化 (開発ノート参照)、ダッシュボードウィジェットのリンクのアクセシビリティ、代替色スキームの可読性の問題 (開発ノート参照)。
• ブロックエディター: Edge のスクロール問題と JavaScript の断続的問題の修正。
• 同梱テーマ: カスタマイザーオプションの追加による執筆者情報の表示/非表示切替、JS ベースのスムーススクロールを CSS で置換 (開発ノート参照)、Instagram 埋め込み CSS を修正。
• 日付/時刻: 非 GMT 日付の計算を改良、特定言語での日付フォーマット出力を修正、PHP のタイムゾーン変更に対してより弾力的な get_permalink()。
• 埋め込み: CollegeHumor を削除。oEmbed サービス提供元の廃止による。
• 外部ライブラリ: sodium_compat の更新。
• サイトヘルス: 管理者メールアドレス検証のリマインド間隔をフィルタリング可能に。
• アップロード: ファイル名が重複した場合にサムネイルによって他の画像が上書きされないようにする。アップロード後のスケーリング対象から PNG 画像を除外する。
• ユーザー: 管理者メールアドレス検証の際にサイトのロケールではなくユーザーのロケールを使用する。

詳細は Trac の変更リスト、並びに 5.3.1 の HelpHub ドキュメンテーションページを参照してください。

Thanks!

(訳注: WordPress 5.3.1 に携わった貢献者の一覧は元記事を参照してください。)

以下は、Jake Spurlock が書いた WordPress.org 公式ブログの記事、「WordPress 5.2.4 Security Release」を訳したものです。

誤字脱字誤訳などありましたらフォーラムまでお知らせください。

---

WordPress 5.2.4が利用可能になりました! このセキュリティリリースでは6件のセキュリティ問題が修正されています。

このバージョン5.2.4で修正されたバグは WordPress バージョン5.2.3以前のバージョンで影響を受けます。まだ5.2にアップデートしていないユーザーのために WordPress 5.1以前のバージョンでもアップデートが利用可能です。

セキュリティアップデート

• 格納型XSS(クロスサイトスクリプティング)がカスタマイザー経由で追加される可能性の問題を発見した Evan Ricafort に感謝します。
• 認証されていない投稿を表示する方法を見つけて開示した J.D. Grimes に感謝します。
• JavaScriptをスタイルタグに挿入する格納型XSSの作成方法を発見した Weston Ruter に感謝します。
• Vary: Origin ヘッダーを介して JSON GETリクエストのキャッシュをポイズニングする方法にハイライトを当てた David Newman に感謝します。
• URLの検証方法でサーバーサイドリクエストフォージェリを発見した Eugene Kolodenker に感謝します。
• 管理画面のリファラーバリデーションに関連する問題を発見した WordPress セキュリティチームの Ben Bidner に感謝します。

脆弱性を非公開で開示してくれたすべての報告者のみなさんに感謝します。WordPress サイトが攻撃される前にそれらを修正する時間ができました。

詳細については Trac で変更箇所の全リストを参照するか、バージョン5.2.4のドキュメントページをご覧ください。

WordPress 5.2.4はショートサイクルなセキュリティリリースです。次のメジャーリリースはバージョン5.3になります。

WordPress 5.2.4をダウンロードするか、もしくはダッシュボード→ 更新と進み、今すぐ更新するをクリックしてください。自動バックグラウンド更新をサポートしているサイトは、すでに自動更新がはじまっています。

上記のセキュリティ研究者に加えて、WordPress 5.2.4に貢献したすべての人に感謝します。

Aaron D. Campbell, darthhexx, David Binovec, Jonathan Desrosiers, Ian Dunn, Jeff Paul, Nick Daugherty, Konstantin Obenland, Peter Wilson, Sergey Biryukov, Stanimir Stoyanov, Garth Mortensen, vortfu, Weston Ruter, Jake Spurlock, そして Alex Concha。

以下は、Jake Spurlock が書いた WordPress.org 公式ブログの記事、「WordPress 5.2.3 Security and Maintenance Release」を訳したものです。

誤字脱字誤訳などありましたらフォーラムまでお知らせください。

---

WordPress 5.2.3が利用可能になりました!

このセキュリティとメンテナンスのリリースでは29件の修正と強化を施しました。さらに、多数のセキュリティ修正が加わっていますので、下の一覧をご覧ください。

これらのバグは WordPress 5.2.2以下に影響を与えます。バージョン5.2.3ではこれらを修正していますので、アップグレードをしてください。

まだ5.2にアップデートしていない場合は、5.0とそれ以前のバージョンにもアップデートされたバージョンがあります。

セキュリティ関連のアップデート

• 2件の問題を発見、開示してくれた Simon Scannell of RIPS Technologies に感謝します。1つ目は、投稿者権限での投稿プレビューで見つかったクロスサイトスクリプティング (XSS) 脆弱性です。2つ目は保存されたコメントでのクロスサイトスクリプティング脆弱性です。
• オープンリダイレクトに繋がりうる URL のバリデーションとサニタイズの問題を開示してくれたに Tim Coen 感謝します。
• メディアアップロード中の反射型クロスサイトスクリプティングについて開示してくれたに Anshul Jain 感謝します。
• ショートコードに関するクロスサイトスクリプティング (XSS) の脆弱性を開示してくれた  Zhouyuan Yang of Fortinet’s FortiGuard Labs に感謝します
• ダッシュボードで起こりうる反射型クロスサイトスクリプティングのケースを見つけて開示してくれたコアセキュリティチームのIan Dunn に感謝します。
• クロスサイトスクリプティング (XSS) 攻撃を招きかねない URL のサニタイズに関する問題を開示してくれた NCC グループからの Soroush Dalili (@irsdl) に感謝します。
• 上記の変更に加え、WordPress の古いバージョンの jQuery をアップデートしています。この変更は5.2.1で加えられたもので、今回、古いバージョンへも反映されました。

すべての変更箇所は Trac で閲覧可能です。

詳細な情報は Trac 上で変更箇所一覧を閲覧するか、バージョン5.2.3ドキュメントページを参照してください。

WordPress 5.2.3はショートサイクルメンテナンスリリースです。次のメジャーリリースはバージョン5.3です。

WordPress 5.2.3はこのページの上の方にあるボタンからダウンロード可能です。もしくはダッシュボード→ 更新と進み、今すぐ更新するをクリックしてください。

自動バックグラウンド更新をサポートしているサイトは、すでに自動更新がはじまっています。

感謝と称賛!

このリリースは62名ものコントリビューターとともにリリースされました。このリリースに協力していただいた皆さんに感謝します!

Adam Silverstein, Alex Concha, Alex Goller, Andrea Fercia, Andrew Duthie, Andrew Ozz, Andy Fragen, Ashish Shukla, Aslam Shekh, backermann1978, Catalin Dogaru, Chetan Prajapati, Chris Aprea, Christoph Herr, [email protected], Daniel Llewellyn, donmhico, Ella van Durpe, epiqueras, Fencer04, flaviozavan, Garrett Hyder, Gary Pendergast, gqevu6bsiz, Hardik Thakkar, Ian Belanger, Ian Dunn, Jake Spurlock, Jb Audras, Jeffrey Paul, jikamens, John Blackbourn, Jonathan Desrosiers, Jorge Costa, karlgroves, Kjell Reigstad, laurelfulford, Maje Media LLC, Martin Spatovaliyski, Mary Baum, Monika Rao, Mukesh Panchal, nayana123, Ned Zimmerman, Nick Daugherty, Nilambar Sharma, nmenescardi, Paul Vincent Beigang, Pedro Mendonça, Peter Wilson, Sergey Biryukov, Sergey Predvoditelev, Sharaz Shahid, Stanimir Stoyanov, Stefano Minoia, Tammie Lister, tellthemachines, tmatsuur, Vaishali Panchal, vortfu, Will West, そして yarnboy.

以下は、Ian Dunn が書いた WordPress.org 公式ブログの記事、「WordPress 5.0.1 Security Release」を訳したものです。

誤字脱字誤訳などありましたらフォーラムまでお知らせください。

---

WordPress 5.0.1 がご利用いただけるようになりました。これは WordPress 3.7 以降のすべてのバージョンに対するセキュリティリリースとなります。今すぐにサイトの更新を行うことを強くおすすめします。

プラグイン作者は、後方互換性の情報を得るために5.0.1 開発者ノートを読むことをおすすめします。

バージョン 5.0 以前の WordPress はバージョン 5.0.1 で修正された、以下のバグの影響を受けます。 5.0 にまだアップデートしていないユーザーのために、WordPress 4.9 以前のリリースの更新版もご利用いただけます。

• Karim El Ouerghemmi は、投稿者が権限のないファイルを削除できるよう、メタデータを変更できてしまうことを発見しました。
•  RIPS Technologies の Simon Scannell は、投稿者が特別に細工された入力を使うことで、権限のない投稿タイプの投稿を作成できてしまうことを発見しました。
• Sam Thomas は、寄稿者が PHP オブジェクトインジェクションをもたらす方法でメタデータを細工できてしまうことを発見しました。
• Tim Coen は、クロスサイトスクリプティングの脆弱性につながり得る、より高い権限を持つユーザーからの新規コメントを寄稿者が編集できてしまうことを発見しました。
• Tim Coen は、特別に細工された URL の入力が状況次第でクロスサイトスクリプティングの脆弱性につながり得ることも発見しました。WordPress 自体は影響を受けませんでしたが、プラグインは場合によっては影響を受ける可能性がありました。
• Team Yoast は、メールアドレスや、稀なケースではデフォルトの生成パスワードの漏洩につながり得る、ユーザー有効化画面が珍しい設定で検索エンジンにインデックスされてしまうことを発見しました。
• Tim Coen と Slavco は、クロスサイトスクリプティングの脆弱性につながり得る、Apache でホストされたサイトの投稿者が、MIME 検証をバイパスする、特別に細工されたファイルをアップロードできてしまうことを発見しました。

WordPress のサイトが攻撃される前に脆弱性を修正する時間を与えてくれた、非公開で脆弱性を公開してくださった、すべての報告者に感謝いたします。

WordPress 5.0.1 をダウンロードするか、思い切ってダッシュボード → 更新と 進み、今すぐ更新するをクリックしてください。自動バックグラウンド更新をサポートしているサイトは、すでに自動更新がはじまっています。

上述したセキュリティ研究者に加えて、5.0.1 に貢献した皆さんに感謝いたします。

Alex Shiels, Alex Concha, Anton Timmermans, Andrew Ozz, Aaron Campbell, Andrea Middleton, Ben Bidner, Barry Abrahamson, Chris Christoff, David Newman, Demitrious Kelly, Dion Hulse, Hannah Notess, Gary Pendergast, Herre Groen, Ian Dunn, Jeremy Felt, Joe McGill, John James Jacoby, Jonathan Desrosiers, Josepha Haden, Joost de Valk, Mo Jangda, Nick Daugherty, Peter Wilson, Pascal Birchler, Sergey Biryukov, Valentyn Pylypchuk

以下は、Aaron D. Campbell が書いた WordPress.org 公式ブログの記事、WordPress 4.9.7 Security and Maintenance Release を訳したものです。

誤字脱字誤訳などありましたらフォーラムまでお知らせください。

---

WordPress 4.9.7 がご利用いただけるようになりました。これは WordPress 3.7 以降のすべてのバージョンに対するセキュリティ・メンテナンスリリースとなります。今すぐにサイトの更新を行うことを強くおすすめします。

バージョン 4.9.6 以前の WordPress は、特定の権限を持つユーザーが uploads ディレクトリ外のファイルを削除できてしまう可能性のあるメディアの問題の影響を受けます。

問題を報告してくださった Slavco と 関連する問題の報告をしてくださった Matt Barry に感謝いたします。

WordPress 4.9.7 では、その他17個のバグが修正されました。特筆すべきは、下記となります。

• タクソノミー: タームクエリーのキャッシュ処理の改善。
• 投稿、投稿タイプ: ログアウト時に投稿パスワード Cookie をクリア。
• ウィジェット: ウィジェット管理画面のサイドバーの説明にベーシックな HTML タグを許可。
• コミュニティイベントダッシュボード: 複数のミートアップが行われている場合でも、常に最寄りの WordCamp を表示。
• プライバシー: 管理者のコンテキスト外でリライトルールをフラッシュした時に、デフォルトのプライバシーポリシーの内容が致命的なエラーを引き起こさないことを確認。

WordPress 4.9.7 (日本語版) をダウンロード、または、「ダッシュボード」 → 「更新」へ行き「今すぐ更新」をクリックしてください。自動バックグラウンド更新をサポートするサイトでは、すでに自動更新が始まっています。

なお、以前に予定されていた 4.9.7 は、4.9.8 となり、昨日公開されたリリーススケジュールに従ってリリースされる予定です。

WordPress 4.9.7 に貢献してくださったすべての方に感謝いたします:

1naveengiri, Aaron Jorbin, abdullahramzan, alejandroxlopez, Andrew Ozz, Arun, Birgir Erlendsson (birgire), BjornW, Boone Gorges, Brandon Kraft, Chetan Prajapati, David Herrera, Felix Arntz, Gareth, Ian Dunn, ibelanger, John Blackbourn, Jonathan Desrosiers, Joy, khaihong, lbenicio, Leander Iversen, mermel, metalandcoffee, Migrated to @jeffpaul, palmiak, Sergey Biryukov, skoldin, Subrata Sarkar, Towhidul Islam, warmlaundry, and YuriV.

以下は、Aaron D. Campbell が書いた WordPress.org 公式ブログの記事、「WordPress 4.9.5 Security and Maintenance Release」を訳したものです。

誤字脱字誤訳などありましたらフォーラムまでお知らせください。

---

WordPress 4.9.5 がご利用いただけるようになりました。これは WordPress 3.7 以降のすべてのバージョンに対するセキュリティ・メンテナンスリリースとなります。今すぐにサイトの更新を行うことを強くおすすめします。

バージョン 4.9.4 以前の WordPress は、3つのセキュリティ問題の影響を受けます。コアチームの継続的なセキュリティ強化の取り組みにより、4.9.5 では、次の修正が実装されました。

1. デフォルトで localhost を同じホストとして扱わない。
2. SSL が強制されている場合に、ログインページのリダイレクトに安全なリダイレクトを使用する。
3. ジェネレータータグでバージョン文字列が正しくエスケープされていることを確認する。

これらの問題について、連携したセキュリティ情報開示を実践してくださった報告者、WordPress セキュリティチームの xknown、Nitin Venkatesh（nitstorm）、WordPress セキュリティチームの Garth Mortensen に感謝いたします。

WordPress 4.9.5 では、その他25個のバグが修正されました。特筆すべきは、以下となります。

• キャプションショートコードで以前のスタイルが復元されました。
• タッチスクリーンデバイスでクロッピングがサポートされるようになりました。
• エラーメッセージなどの文字列がより明解となるよう更新されました。
• アップロード中の添付ファイルのプレースホルダーの位置が修正されました。
• REST API JavaScript クライアントのカスタムノンス機能が、コードベース全体で一貫したものとなりました。
• PHP 7.2 との互換性が向上しました。

4.9.5 で修正されたすべての問題の詳細情報を知りたい場合は、こちらの記事をご覧ください。

WordPress 4.9.5 (日本語版) をダウンロード、または、「ダッシュボード」 → 「更新」へ行き「今すぐ更新」をクリックしてください。自動バックグラウンド更新をサポートするサイトでは、すでに自動更新が始まっています。

WordPress 4.9.5 に貢献してくださったすべての方に感謝いたします:

1265578519, Aaron Jorbin, Adam Silverstein, Alain Schlesser, alexgso, Andrea Fercia, andrei0x309, antipole, Anwer AR, Birgir Erlendsson (birgire), Blair jersyer, Brooke., Chetan Prajapati, codegrau, conner_bw, David A. Kennedy, designsimply, Dion Hulse, Dominik Schilling (ocean90), ElectricFeet, ericmeyer, FPCSJames, Garrett Hyder, Gary Pendergast, Gennady Kovshenin, Henry Wright, Jb Audras, Jeffrey Paul, Jip Moors, Joe McGill, Joen Asmussen, John Blackbourn, johnpgreen, Junaid Ahmed, kristastevens, Konstantin Obenland, Laken Hafner, Lance Willett, leemon, Mel Choyce, Mike Schroder, mrmadhat, nandorsky, Nidhi Jain, Pascal Birchler, qcmiao, Rachel Baker, Rachel Peter, RavanH, Samuel Wood (Otto), Sebastien SERRE, Sergey Biryukov, Shital Marakana, Stephen Edgar, Tammie Lister, Thomas Vitale, Will Kwon, and Yahil Madakiya.