このプラグインは当社制作のWordpressサイトで標準インストールしています
このプラグインは、当社で制作したWordpressサイトではあれば、標準で利用しているプラグインです。
※但し一部のお客様は、インストールされていない場合もございます。こちらの方法でインストール状況をご確認ください。
「All in One SEO」は、SEO対策として有効なMETA情報の登録等が容易に行える為、当社のお客様にも必ずと言ってよい程、導入させていただいております。
この「All in One SEO」にStored クロスサイトスクリプティング via shortcodeの脆弱性が発覚致しました。WordPressをご利用のお客様で、「All in One SEO 4.6.0以下」を導入しているWebサイトをご利用のお客様はアップデートしてください。
当脆弱性は、All in One SEO 4.6.1において、開発元より対応済です。
※WordPress保守契約をご利用のお客様または納品後3か月以内のお客様は既に当社で対応済です。
脆弱性の概要
4.6.0 までのすべてのバージョンにおいて、入力のサニタイズとユーザが提供した属性の出力エスケープが不十分なため、プラグインのショートコードを経由した Stored クロスサイトスクリプティング via shortcode の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。
アップデート対応について
WordPress保守契約をご利用のお客様または納品後3か月以内のお客様
既に当社にて対応済です。
納品後3か月以上のお客様でWordPress保守契約をご利用されていないお客様
お客様ご自身でアップデートしてください。
管理者権限のユーザーIDでWordpressにログインした後、こちらの方法でインストール済みプラグインへ移動します。
最新版へ更新されていない場合、プラグイン一覧から、All in One SEOに「新バージョンの All in One SEO が利用できます。」と表示されていますので「更新」をクリックしてください。
アップデートによる不具合の可能性
このプラグインはSEO用のMETA情報を設定するプラグインですので、ウェブサイトの動作や表示に直接関係するプラグインではありません。従って、検証せずアップデートしても問題ありません。もし心配な場合は、テストサイトが利用できるお客様は、先ずはテストサイト側でアップデートしてウェブサイトに不具合が無いか確認してください。
テストサイトが無い場合や、ご心配なお客様は必ずバックアップを取った上でアップデートしてください。
バックアップするデータ
次のデータをバックアップします。
- WordPressが利用するDBデータ
- プラグインデータ
WordPressのディレクトリ/wp-content/plugins/all-in-one-seo-pack
アップデートした事で不具合が発生した場合
テストサイトでアップデートして不具合が発生している場合は、本番環境のアップデートを一旦保留にしてください。
そしてリスクを承知の上で※、同プラグインバージョンを使用するか、弊社に不具合の原因調査・修正を依頼するかお客様で判断してください。
※ 同プラグインバージョンを利用し続ける事で万が一、お客様に不利益な事象が発生しても当社は一切の責任を負う事は出来ません。予めご了承ください。
テスト環境が無く本番環境をアップデートした事で不具合発生してしまったお客様
バックアップデータを使って復元してください。復元方法が分からない場合は、弊社にご依頼いただければ弊社が復元致しますが、作業費用を頂戴する事となりますのでご了承ください。
※ 作業費用及び納期は、お客様によって異なります為、ご依頼前にお尋ねください。見積及び納期を提示致します。