ニュース
» 2016年07月12日 07時45分 公開
WordPressの「All in One SEO Pack」に深刻な脆弱性、更新版で対応
脆弱性を悪用されると、XSS攻撃を仕掛けられて管理者のセッショントークンを盗まれたり、攻撃者に任意の動作を実行されたりする恐れがあるという。
[鈴木聖子,ITmedia]
WordPressのSEO対策プラグイン「All in One SEO Pack」に深刻な脆弱性が発見され、この問題を修正する更新版が7月8日に公開された。
All in One SEO Packは“WordPressで必須”ともいわれ、インストール数が100万件を超す人気プラグイン。セキュリティ研究者が公開した情報によると、同プラグインの「Bot Blocker」と呼ばれる機能にクロスサイトスクリプティング(XSS)の脆弱性が見つかった。
Bot Blocker機能は、特定のボットによるWebサイトへのアクセスを防止する機能で、User AgentやReferrerヘッダのパターンをもとにボットを検出する。同機能の設定で「Track Blocked Bots」を有効にしている場合(初期設定は無効)、HTMLページに記録されるブロック済みリクエストの検証が不適切な問題を突かれてXSS攻撃を仕掛けられ、管理者のセッショントークンを盗まれたり、攻撃者に任意の動作を実行されたりする恐れがあるという。
脆弱性はAll in One SEO Packの2.3.6.1までのバージョンで確認され、研究者はコンセプト実証コードも公開した。7月8日にリリースされたバージョン2.3.7で問題は修正されたとしている。
関連記事
WordPressプラグインの脆弱性を突く攻撃横行、更新版で対処
Webサイトのポルノスパム感染被害が5月末ごろから急増している。WordPressのモバイル対応プラグイン「WP Mobile Detector」の未解決の脆弱性が悪用されていたことが分かった。
WordPressのプラグイン「Jetpack」に脆弱性、直ちに更新を
悪用されれば管理者アカウントが乗っ取られたり、訪問者が不正なWebサイトに誘導されたりする恐れがある。
WordPressの更新版リリース、深刻な脆弱性を修正
複数の深刻な脆弱性が修正されており、ユーザーに対して直ちにサイトを更新するよう強く促している。
WordPress.com、独自ドメインも全てHTTPS接続に
WordPress.com上でホスティングされている全ての独自ドメインで通信が暗号化されるHTTPS接続を無償提供する。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- Kali Linuxの最新版「2023.4」が公開 Raspberry Pi 5サポートなどを強化
- 「年功序列を辞めないと日本企業は破綻」 人事の専門家が語る“本当に”取り組むべきこと
- 「IT商材を売るSIer」はもういらない ユーザー企業視点で“共創パートナー”について考えてみた
- 日立はなぜ組織再編でクラウドネイティブコミュニティーに肩入れをするのか
- ERPベンダーにロックインされるな 企業が“最適なシステム構成”を実現する方法
- サイバーレジリエンスを俯瞰しよう 310ページに及ぶNIST資料を分かりやすく解説
- Okta環境で発生したデータ漏えい 当初の予測より漏えい範囲は甚大か
- なぜクラウド変革の半数は「悲惨な結果」に終わるのか?
- ChromeやEdgeでパスワードがダダ漏れ? 対策はあるか
- セールスフォースとアクセンチュアがクラウドサービスを発表 その特徴は
ITmediaはアイティメディア株式会社の登録商標です。