ニュース
» 2016年07月12日 07時45分 UPDATE

WordPressの「All in One SEO Pack」に深刻な脆弱性、更新版で対応

脆弱性を悪用されると、XSS攻撃を仕掛けられて管理者のセッショントークンを盗まれたり、攻撃者に任意の動作を実行されたりする恐れがあるという。

[鈴木聖子,ITmedia]

 WordPressのSEO対策プラグイン「All in One SEO Pack」に深刻な脆弱性が発見され、この問題を修正する更新版が7月8日に公開された。

 All in One SEO Packは“WordPressで必須”ともいわれ、インストール数が100万件を超す人気プラグイン。セキュリティ研究者が公開した情報によると、同プラグインの「Bot Blocker」と呼ばれる機能にクロスサイトスクリプティング(XSS)の脆弱性が見つかった。

All in One SEO Pack

 Bot Blocker機能は、特定のボットによるWebサイトへのアクセスを防止する機能で、User AgentやReferrerヘッダのパターンをもとにボットを検出する。同機能の設定で「Track Blocked Bots」を有効にしている場合(初期設定は無効)、HTMLページに記録されるブロック済みリクエストの検証が不適切な問題を突かれてXSS攻撃を仕掛けられ、管理者のセッショントークンを盗まれたり、攻撃者に任意の動作を実行されたりする恐れがあるという。

セキュリティ研究者が公開した情報

 脆弱性はAll in One SEO Packの2.3.6.1までのバージョンで確認され、研究者はコンセプト実証コードも公開した。7月8日にリリースされたバージョン2.3.7で問題は修正されたとしている。

Copyright© 2017 ITmedia, Inc. All Rights Reserved.

ピックアップコンテンツ

- PR -

あなたにオススメの記事

- PR -

新品より高品質な“中古機器”「第三者保守」のメリットと品質とは?

苦労した点は?実際に導入に携わった情シスに「リアル」な話を聞いてみた

現場の情シスはどう思うか? 生産性を高めるためのデバイス導入のポイント

注目のテーマ

マーケット解説

- PR -