← すべてのリリース
core

v0.4.9

  • パッケージング修正 — WordPress.org Plugin Check の hidden_files リジェクト対応
  • v0.4.8 の ZIP に .env.local の認証情報が同梱されていた件のセキュリティ通知

パッチリリース

修正

  • パッケージング — WordPress.org Plugin Check の hidden_files リジェクト対応。 v0.4.8 の配布 ZIP には WP.org PCP がリジェクトする 3 つのドットファイルが含まれていました: .env.local(開発者のローカル設定+管理者の認証情報)、.githooks/pre-commit(ホスト側の開発ツール)、public/react/.vite/manifest.json(Vite のデフォルトマニフェストパス)。.env.local.githooks/.distignore で除外しました。Vite のマニフェストは public/react/manifest.jsonmanifest: 'manifest.json')に移動し、隠しディレクトリ内ではなくなりました。読み込み側(ReactHandler::read_manifest()AdminAssetScopeTest)も合わせて更新しています。

セキュリティ

  • v0.4.8 の ZIP は本修正までの約 3 時間、GitHub Releases で公開されており、開発用の認証情報(開発用 WordPress サイトの adminadmin)と開発者のローカルファイルシステムパスを含む .env.local が同梱されていました。公開から本修正までの間に GitHub Releases で v0.4.8 をダウンロードした方はこれらの値を入手しています。これらは開発環境外では使用していませんが、懸念がある場合はローテーションしてください。
Statnive を無料で入手