WordPressのプラグイン(The All in One SEO)に脆弱性
WordPressのプラグインのセキュリティで重要な発表がありました。
公式発表によればWordPressのプラグイン「The All in One SEO 」4.1.0.2以前のバージョンで脆弱性が見つかったようです。
「The All in One SEO 」4.1.0.2以前のバージョンで発覚
4月27日に4.1.0.2がリリースされました。
Updated: UI enhancements for Redirection Manager
Updated: Added support for searching for posts by slug when adding a redirect
Updated: Timestamps for redirect/404 hits are now localized to user’s timezone
Updated: Added more caching for title/description
Updated: Added some security hardening recommended by Vincent Michel
Fixed: Redirect tables and Local SEO posts/terms not dropped when plugin is uninstalled
Fixed: Hide server exports when using PHP redirects
Fixed: All Posts/Pages screens time out when user has high post display count
Fixed: Conflicting REST API header
Fixed: Deleting redirect in paginated results refreshes back to first page
Fixed: Plugin sends requests to Semrush after user denied authorization
Fixed: Incorrect “plugin is already on the latest version” notice when bulk updating plugins
https://aioseo.com/changelog/
どのような危険があるのか?
権限を持つユーザーが、細工したプラグインのバックアップファイルをアップロードすることにより、
ホストで任意のコードを実行することが可能となる脆弱性です。
おわりに
この記事を読み終えたら、すぐにダッシュボードで最新版か確認してください。
4.1.0.2以前の場合は直ちにアップデートしてください。
参考記事
https://nvd.nist.gov/vuln/detail/CVE-2021-24307
https://aioseo.com/changelog/
目次へ