ホームページ制作のガヤワークス

GAYALOG

ガヤログ

アーカイブ

2021/12/23 (Thu)

WordPress

WordPressのAll in One SEOプラグインの重大な脆弱性に注意、4.1.5.3への更新が必要

サイバーセキュリティ企業のSucuriは12月21日、公式ブログの記事「Critical Vulnerabilities in All in One SEO Plugin Affects Millions of WordPress Websites」において、WordPressの人気プラグイン「All in One SEO」に2件の脆弱性が報告されており、300万以上のWebサイトが影響を受ける恐れがあるとして注意を促した。これらの脆弱性を放置すると、攻撃者によってWebサイトの乗っ取りやデータベースに記録された情報の盗み出しなどに悪用される危険があるという。

報告されている脆弱性は次の2件。All in One SEOのバージョン4.0.0から4.1.5.2が影響を受けるとのこと。

・認証されたユーザーによる特権昇格の脆弱性
(バージョン4.0.0から4.1.5.2に影響)
・認証されたユーザーによるSQLインジェクションの脆弱性
(バージョン4.1.3.1から4.1.5.2に影響)

いずれの脆弱性も、悪用するには攻撃者がWebサイトに対する何らかのアカウントを持っている必要があるが、アカウントの権限は「Subscriber」と同等の低レベルのもので十分だという。

前者は、このプラグインがWordPressのREST APIにアクセスする際の権限チェックに関連する脆弱性である。All in One SeoではWordPressのさまざまなREST APIエンドポイントにアクセスできるが、通常はアクセスの際に権限チェックが行われる。しかし、リクエストの1文字を大文字に変えるだけで権限チェックをバイパスすることができる。これが悪用されると、攻撃者はWordPressの構成ファイルを書き換え、結果的にWebサイトを乗っ取ってアカウントの特権を管理者に昇格できる可能性があるとのこと。

後者の脆弱性は特定のエンドポイントに対するSQLインジェクション攻撃が可能な脆弱性になる。対象のエンドポイントは権限の低いアカウントからアクセスできるようにはなっていないものの、前述の特権昇格の脆弱性と組み合わせることによって攻撃に利用することが可能となる。これによって、攻撃者はデータベースからユーザーの資格情報や管理者情報などの機密データを取得できる可能性があるという。

これらの脆弱英は悪用が容易である点が大きな特徴で、CVSS v3の基本スコアは前者が9.9で深刻度「緊急」、後者が7.7で深刻度「高」に指定されている。いずれの脆弱性も最新版であるバージョン4.1.5.3にアップデートすることによって回避することができる。

Sucuriの記事によると、All in One SEOは300万を超えるWebサイトで使用されていることから極めて影響が大きいとのこと。対象のバージョンを使用しているWebサイトの管理者は早急にアップデートを適用することが推奨されている。

アーカイブ

ABOUT

ガヤワークスについて

お客さまの状況に最も適したプランを提案する。
そのために大切にしていること。

ホームページ制作に大切なのは、いかにユーザーにとってわかりやすいサイト構成になっているかどうかだと考えています。
メインメニューの位置はすぐにわかる場所にあるかどうか。文字の大きさは読みやすいかどうか。コンテンツの内容は専門用語を使わずにユーザーにとってすぐに理解できる内容になっているかどうか。
普通にしていると気づかないような、でも手を加えれば格段に使いやすくなるポイントを見つけ出し、地道に改善を重ねていきます。
そうした見えないところでの努力によって本当の意味で反響のある、価値のあるサイトに成長させていくことができるのです。

ミーティング
会社名
ガヤワークス
代表者
小島 令
所在地
長野県上田市中之条384-2 西沢ビル1F
営業時間
平日10時〜19時
電話番号
0268-75-0414
メールアドレス
info@gayas.net
事業内容
ホームページの企画提案・管理・運営・制作
WEBデザイン業務全般
WEB用コンテンツ作成
モバイルサイト制作・スマートフォンサイト制作
SEO対策事業
印刷物作成(ポスター、フライヤー、名刺作成等)
その他楽しいコト全般