【セキュリティ情報】WordPress プラグイン「All in One SEO」の脆弱性が見つかった!

セキュリティ

WordPress では、プラグイン「All in One SEO」を導入しているブログが多いかと思うが、セキュリティ情報によると、緊急性の高い脆弱性が見つかったとのこと。

今回は、脆弱性の内容、その影響、対策について紹介したい。

スポンサーリンク

脆弱性の内容

WordPress」のプラグイン「All in One SEO (4.0.0~4.1.5.2)」で、緊急性の高いセキュリティ上の問題(脆弱性)が確認されたようだ。

Posted on December 14, 2021 by Marc Montpas

During an internal audit of the All In One SEO plugin, we uncovered an SQL Injection vulnerability and a Privilege Escalation bug.

引用元: Jetpack

つまり、SQLインジェクションの脆弱性と権限昇格攻撃がポイントとのこと。

SQLインジェクション」:アプリケーションが想定しないSQL文を実行させることにより、データベースシステムを不正に操作する攻撃方法 (Wikipedia)。

権限昇格攻撃」:文字通り、権限付与の特権を超えたアクセスを行う攻撃とのこと。

スポンサーリンク

どういう影響があるの?

All in One SEO (4.0.0~4.1.5.2)」のままでは、以下の2つの影響があるとのこと。

・データベースの非公開データが漏洩する

・第三者によって悪意のある任意のコマンドを実行される

スポンサーリンク

対策方法は?

All in One SEO (4.1.5.3)」へアップデートを行うことで回避されるとのこと。

WordPress の管理ページから、「プラグイン」→「インストール済みプラグイン」をクリックし、表示されている「All in One SEO」が、以下のように、最新バージョンになっているかを確認する。なっていない場合は、更新する。

コメント

error: