- 2015年4月3日
- WordPress脆弱性情報
100万ダウンロード超え、SEO対策統合プラグイン、All in One SEO Pack に脆弱性
言わずと知れた、超有名プラグイン、All in One SEO PackにJVNにて脆弱性が報告されました。
WordPress 用プラグイン All in One SEO Pack における情報管理不備の脆弱性
All in One SEO Pack は、WordPress 用のプラグインです。All in One SEO Pack では、初期設定で、本文の一部を含む META タグをページに追加する機能が有効となっています。追加された META タグから、WordPress の「パスワード保護」機能で閲覧を制限したページであっても、本文の一部を閲覧される可能性があります。
パスワード保護を施したページが見られるということで、乗っ取りのような重大性はないかと思われますが、いずれにしろ気分のいいものではありません。
対策もすでに公表されており、アップデートを行うか、もしくは
- All in One SEO Pack の設定画面で「詳細を自動生成」(“Autogenerate Descriptions”) 機能を無効にする
と言う方法を使うことで、脆弱性を回避することが可能とのこと。
おそらく日本語版だとAdvanced Settingsの中の、「詳細を自動生成」というやつですね。確かにデフォルトでチェックが入っています。
こいつを外すより、アップデートを行うほうが安全だとは思いますが、故あってアップデート出来ない方は、この方法が良いかもしれません。