WordPress では、プラグイン「All in One SEO」を導入しているブログが多いかと思うが、セキュリティ情報によると、緊急性の高い脆弱性が見つかったとのこと。
今回は、脆弱性の内容、その影響、対策について紹介したい。
脆弱性の内容
「WordPress」のプラグイン「All in One SEO (4.0.0~4.1.5.2)」で、緊急性の高いセキュリティ上の問題(脆弱性)が確認されたようだ。
Posted on December 14, 2021 by Marc Montpas
During an internal audit of the All In One SEO plugin, we uncovered an SQL Injection vulnerability and a Privilege Escalation bug.
引用元: Jetpack
つまり、SQLインジェクションの脆弱性と権限昇格攻撃がポイントとのこと。
「SQLインジェクション」:アプリケーションが想定しないSQL文を実行させることにより、データベースシステムを不正に操作する攻撃方法 (Wikipedia)。
「権限昇格攻撃」:文字通り、権限付与の特権を超えたアクセスを行う攻撃とのこと。
どういう影響があるの?
「All in One SEO (4.0.0~4.1.5.2)」のままでは、以下の2つの影響があるとのこと。
・データベースの非公開データが漏洩する
・第三者によって悪意のある任意のコマンドを実行される
対策方法は?
「All in One SEO (4.1.5.3)」へアップデートを行うことで回避されるとのこと。
WordPress の管理ページから、「プラグイン」→「インストール済みプラグイン」をクリックし、表示されている「All in One SEO」が、以下のように、最新バージョンになっているかを確認する。なっていない場合は、更新する。
コメント