昨年12月24日あたりに、
WordPressの有名なプラグインである「All in One SEO」プラグインに
脆弱性が見つかりました🔥
脆弱性のバージョンは、
All in One SEO (4.0.0~4.1.5.2)
のバージョンのようです。
この脆弱性の対処法と、何が問題なのかについて簡単に書いてみました。
この問題の対処法
これに関してどう対処すれば良いかというと、
- バージョンを4.1.5.3以降に更新すれば大丈夫!
- 最新版にしていれば全く問題ありません
という感じなので、もしアップデートされていない方がいらっしゃいましたら、
早急にアップデートすることをお勧めします!
ちなみに、今回の脆弱性はどこが問題なのか?
今回の脆弱性は以下の問題があります。
- 非公開のデータが漏洩してしまう可能性
- 第三者によって悪意のあるコマンドが実行される可能性
参考:https://business.xserver.ne.jp/news/detail.php?view_id=8520
技術的なことを言いますと、
クオーテーションをエスケープしていないことによるSQLインジェクションのようです。
(以下の原文を訳すとそのようなことが書いてあるかと思います)
Severe Vulnerabilities Fixed in All In One SEO Plugin Version 4.1.5.3
During an internal audit of the All In One SEO plugin, we uncovered an SQL Injection vulnerability and a Privilege Escalation bug.
jetpack.com
WordPressのプラグインの中には脆弱性があるものや信頼度が低いものも混ざっていることがあるので、信頼できるプラグインやそのプラグインの最新状況をウォッチしていくと、何か問題があったとしても迅速に対処できると思います。
コメント