WordPressのプラグイン(The All in One SEO)に脆弱性

2021年8月25日WordPress

WordPressのプラグインのセキュリティで重要な発表がありました。
公式発表によればWordPressのプラグイン「The All in One SEO 」4.1.0.2以前のバージョンで脆弱性が見つかったようです。

「The All in One SEO 」4.1.0.2以前のバージョンで発覚

4月27日に4.1.0.2がリリースされました。

Updated: UI enhancements for Redirection Manager

Updated: Added support for searching for posts by slug when adding a redirect

Updated: Timestamps for redirect/404 hits are now localized to user’s timezone

Updated: Added more caching for title/description

Updated: Added some security hardening recommended by Vincent Michel

Fixed: Redirect tables and Local SEO posts/terms not dropped when plugin is uninstalled

Fixed: Hide server exports when using PHP redirects

Fixed: All Posts/Pages screens time out when user has high post display count

Fixed: Conflicting REST API header

Fixed: Deleting redirect in paginated results refreshes back to first page

Fixed: Plugin sends requests to Semrush after user denied authorization

Fixed: Incorrect “plugin is already on the latest version” notice when bulk updating plugins

https://aioseo.com/changelog/

どのような危険があるのか?

権限を持つユーザーが、細工したプラグインのバックアップファイルをアップロードすることにより、
ホストで任意のコードを実行することが可能となる脆弱性です。

おわりに

この記事を読み終えたら、すぐにダッシュボードで最新版か確認してください。
4.1.0.2以前の場合は直ちにアップデートしてください。

参考記事

https://nvd.nist.gov/vuln/detail/CVE-2021-24307
https://aioseo.com/changelog/

CORE誘導バナー

Posted by admin-dev


service

Value Domain
ドメイン取得&レンタルサーバーなら
Value Domain
ドメイン登録実績600万件を誇るドメイン取得・管理サービスと、高速・高機能・高品質なレンタルサーバーや、SSL証明書などを提供するドメイン・ホスティング総合サービスです。