【重要】「All in One SEO」に脆弱性が発見されました。4.1.5.3へのアップデートについて

Wordpress 脆弱性
このページはWordPress+All in One SEOご利用の方が対象です

このページは、2022年01月11日に作成したページです。
このページに掲載しているAll in One SEOの仕様・機能・操作手順は、現在リリースされている最新バージョンのAll in One SEOと異なる場合がございます。

このページに掲載している
All in One SEOのバージョン:
All in One SEO4.1.5.2以下

All in One SEO」は、SEO対策として有効なMETA情報の登録等が容易に行える為、当社のお客様にも必ずと言ってよい程、導入させていただいております。

この「All in One SEO」に脆弱性が発覚致しました。WordPressをご利用のお客様で、「All in One SEO 4.1.5.2以下」を導入しているWebサイトをご利用のお客様はアップデートしてください。

※WordPress保守契約をご利用のお客様または納品後3か月以内のお客様は既に当社で対応済です。

 

脆弱性の概要

サイバーセキュリティ企業のSucuriは、「All in One SEO」に2件の脆弱性が報告されており、このプラグインを利用中のWebサイトが影響を受ける恐れがあるとして注意を促しました。

これらの脆弱性を放置すると、攻撃者によってWebサイトの乗っ取りやデータベースに記録された情報の悪用の危険があると注意喚起しています。

 

 

以下2件の脆弱性が報告されています

認証されたユーザーによる特権昇格の脆弱性(バージョン4.0.0から4.1.5.2に影響)

All in One SEOがWordPressのREST APIにアクセスする際の権限チェックに関連する脆弱性です。悪用されると、攻撃者はWordPressの構成ファイルを書き換え、結果的にWebサイトを乗っ取ってアカウントの特権を管理者に昇格できる可能性があります。

 

 

認証されたユーザーによるSQLインジェクションの脆弱性(バージョン4.1.3.1から4.1.5.2に影響)

特定のエンドポイントに対するSQLインジェクション攻撃が可能な脆弱性です。対象のエンドポイントは権限の低いアカウントからアクセスできるようにはなっていないものの、前述の特権昇格の脆弱性と組み合わせることによって攻撃に利用することが可能となります。これによって、攻撃者はデータベースからユーザーの資格情報や管理者情報などの機密データを取得できる可能性があるといいます。

 

 

いずれの脆弱性も、悪用するには攻撃者がWebサイトに対する何らかのアカウントを持っている必要がありますが、アカウントの権限は「購読者(Subscriber)」と同等の低レベルのもので十分とのことです。

アップデート対応について

WordPress保守契約をご利用のお客様または納品後3か月以内のお客様

既に当社にて対応済です。

納品後3か月以上のお客様でWordPress保守契約をご利用されていないお客様

お客様ご自身でアップデートしてください。

管理者権限のユーザーIDでWordpressにログインした後、こちらの方法でインストール済みプラグインへ移動します。

プラグイン一覧から、MW WP Formに「新バージョンの All in One SEO が利用できます。」と表示されていますので「更新」をクリックしてください。

 

アップデートによる不具合の可能性

このプラグインはSEO用のMETA情報を設定するプラグインですので、ウェブサイトの動作や表示に直接関係するプラグインではありません。従って、検証せずアップデートしても問題ありません。もし心配な場合は、テストサイトが利用できるお客様は、先ずはテストサイト側でアップデートしてウェブサイトに不具合が無いか確認してください。

テストサイトが無い場合や、ご心配なお客様は必ずバックアップを取った上でアップデートしてください。

 

 

バックアップするデータ

次のデータをバックアップします。

 

  • WordPressが利用するDBデータ
  • プラグインデータ
    WordPressのディレクトリ/wp-content/plugins/all-in-one-seo-pack

 

 

アップデートした事で不具合が発生した場合

テストサイトでアップデートして不具合が発生している場合は、本番環境のアップデートを一旦保留にしてください。

そしてリスクを承知の上で、同プラグインバージョンを使用するか、弊社に不具合の原因調査・修正を依頼するかお客様で判断してください。

 

※ 同プラグインバージョンを利用し続ける事で万が一、お客様に不利益な事象が発生しても当社は一切の責任を負う事は出来ません。予めご了承ください。

 

 

 

 

テスト環境が無く本番環境をアップデートした事で不具合発生してしまったお客様

バックアップデータを使って復元してください。復元方法が分からない場合は、弊社にご依頼いただければ弊社が復元致しますが、作業費用を頂戴する事となりますのでご了承ください。

※ 作業費用及び納期は、お客様によって異なります為、ご依頼前にお尋ねください。見積及び納期を提示致します。

HTML Snippets Powered By : XYZScripts.com