【重要】「All in One SEO」に脆弱性が発見されました。4.1.5.3へのアップデートについて

Wordpress
このページはWordPress+All in One SEOご利用の方が対象です

このページは、2022年01月11日に作成したページです。
このページに掲載しているAll in One SEOの仕様・機能・操作手順は、現在リリースされている最新バージョンのAll in One SEOと異なる場合がございます。

このページに掲載している
All in One SEOのバージョン:
All in One SEO4.1.5.2以下

「All in One SEO」は、SEO対策として有効なMETA情報の登録等が容易に行える為、当社のお客様にも必ずと言ってよい程、導入させていただいております。

この「All in One SEO」に脆弱性が発覚致しました。WordPressをご利用のお客様で、「All in One SEO 4.1.5.2以下」を導入しているWebサイトをご利用のお客様はアップデートしてください。

※WordPress保守契約をご利用のお客様または納品後3か月以内のお客様は既に当社で対応済です。

 

脆弱性の概要

サイバーセキュリティ企業のSucuriは、「All in One SEO」に2件の脆弱性が報告されており、このプラグインを利用中のWebサイトが影響を受ける恐れがあるとして注意を促しました。

これらの脆弱性を放置すると、攻撃者によってWebサイトの乗っ取りやデータベースに記録された情報の悪用の危険があると注意喚起しています。

 

 

以下2件の脆弱性が報告されています

認証されたユーザーによる特権昇格の脆弱性(バージョン4.0.0から4.1.5.2に影響)

All in One SEOがWordPressのREST APIにアクセスする際の権限チェックに関連する脆弱性です。悪用されると、攻撃者はWordPressの構成ファイルを書き換え、結果的にWebサイトを乗っ取ってアカウントの特権を管理者に昇格できる可能性があります。

 

 

認証されたユーザーによるSQLインジェクションの脆弱性(バージョン4.1.3.1から4.1.5.2に影響)

特定のエンドポイントに対するSQLインジェクション攻撃が可能な脆弱性です。対象のエンドポイントは権限の低いアカウントからアクセスできるようにはなっていないものの、前述の特権昇格の脆弱性と組み合わせることによって攻撃に利用することが可能となります。これによって、攻撃者はデータベースからユーザーの資格情報や管理者情報などの機密データを取得できる可能性があるといいます。

 

 

いずれの脆弱性も、悪用するには攻撃者がWebサイトに対する何らかのアカウントを持っている必要がありますが、アカウントの権限は「購読者(Subscriber)」と同等の低レベルのもので十分とのことです。

 

 

アップデート対応について

 

 

WordPress保守契約をご利用のお客様、共用サーバマネージドプランご利用のお客様、または納品後3か月以内のお客様

既に当社にて対応済です。

 

 

納品後3か月以上のお客様でWordPress保守契約をご利用されていないお客様

お客様ご自身でアップデートしてください。

なお「All in One SEO」は、Webサイトの表示や動作には直接関係のないプラグインですので、アップデートによる不具合は出難いと思われます。従って、検証せずアップデートしても問題ありません。