ScuriによるとWordPressプラグインAll in SEOに重大な脆弱性が見つかったとの報告が上がっています。
目次
脆弱性の内容
攻撃者がWordPressのサイトに対してSubscriber(閲覧者)の権限を持っている場合、Subscriber以上の権限を入手してサイトを乗っ取ることが可能になるとのことです。
インストールされたAll in One SEOのバージョンが4.0.0または4.1.5.2の場合、REST APIエンドポイントへのアクセスにおいて文字列の一部を小文字から大文字に変更すると認証チェックが完全にバイパスされるというものです。
対応方法
All in One SEOを導入している場合は直ちに最新版にアップデートする必要があります。最新版ではすでにこの脆弱性に対するパッチが当たっています。
まとめ
これまで制作してきたサイトの多くにAll in One SEOを導入してきましたが、全て最新版にアップデートをして対応しました。まだ未対応の方は早急に対応されることをお勧めします。