WordPress 5.2.2はセキュリティ修正のようなリリースのされ方でしたが、7/4時時点でWordPressのサイトでは5.2.2はメンテナンスリリースとしかかかれていません。ほかのOSSの情報公開のタイミングを参考にして後から公開されるものとして書いていました。ここでは、過去のWordPressセキュリティ公開タイミングを再確認して、5.2.1、5.2.2がどうなのかを推測してみます。
直近のセキュリティ修正5.1.1と5.0.1についてみます。
WordPress5.1.1
・WordPressサイトでの5.1.1リリース日 2019/3/12
・WordPressサイトでの5.1.1セキュリティ情報公開日 2019/3/12
・JVNへの5.1.1(CVE-2019-9787)の情報登録日 2019/4/10 約1か月後
WordPress5.0.1
・WordPressサイトでの5.0.1リリース日 2018/12/13
・WordPressサイトでの5.0.1セキュリティ情報公開日 2018/12/13
・JVNへの5.0.1(CVE-2019-8942)の情報登録日 2019/4/1 約3か月後
その他(CVE-2019-8943(5.0.3まで?))
・→ まだパッチが公開されていないとされている(2019/7/4時点)
パッチ公開とほぼ同時に脆弱性情報が公開されるパターンもあれば、パッチがない脆弱性情報が公開されるパターンもあります。 CVE-2019-8942 についてはWordPressサイトの セキュリティ情報公開日 しているものがWordPress5.0.1のリリース日でしかなく、JVNへの登録日の直前に情報公開されたのなら、パッチリリルースの3か月後に脆弱性情報が公開されたことになる。このようにいろいろなパターンがあるので、5.2.1も5.2.2もいずれも今後セキュリティ情報が公開される可能性がまだ残っているということになりそうです。 もしもそうなら、CVE-2019-8943 は5.2.1で修正されていたということなると推測します。