All in One SEO Packプラグインのバージョン2.3.6.1以前から深刻な保存されたクロスサイトスクリプティング(XSS)の脆弱性が発見され、このプラグインの2.3.7以前のバージョンでも、新しい脆弱性が追加で発見されたします。
All in One SEO Packは、100万個以上のサイトにインストールされて有効にされた非常に人気のあるプラグインの一つです。
XSSの脆弱性により、攻撃者は悪意のあるHTTPユーザーエージェントまたはReferrerヘッダーをXSSペイロードを含むサイトに送信する可能性があります。 これにより、管理者が管理者パネルにアクセスすると、このプラグインに「Bad Bot Blocker」設定ページが表示され、攻撃者がサイトのコントロールを完全に制御します。
この脆弱性は、「Track Blocked Bots」設定が有効になっているサイトでのみ悪用される可能性があります。 この設定はデフォルトでは有効になっていません。
詳細については、次のXNUMXつのサイトを参考にしてみてください。
- Serious Vulnerability in All in One SEO Pack Plugin 2.3.6.1 and earlier(All in One SEO Pack Plugin 2.3.6.1 以前に深刻な脆弱性を発見)
- New Vulnerability in All in One SEO Pack Plugin 2.3.7 and earlier(All in One SEO Pack Plugin 2.3.7以前の新しい脆弱性)
All in One SEO Packは、以前にも、セキュリティの脆弱性が発見されたこともありますので、このプラグインは、常に最新のバージョンに保つことが良さそうです。 2016年7月21日現在、このプラグインの最新バージョンは2.3.8です。 必ず最新バージョンにアップデートしてください。
コメントを残す