100万ダウンロード以上、大人気SEOプラグイン、WordPress SEO by Yoast に脆弱性

定番中の定番であるSEOプラグイン、WordPress SEO by Yoast に脆弱性が報告されています。

日本語の解説記事も数多くあり、プラグインの代表格とも言える本プラグインですが、2件の脆弱性が同時に報告されました。

 

【日本語解説記事】

大人気のSEO対策プラグインWordPress SEO by Yoast

【保存版】WordPress SEO by Yoastプラグインの設定完全版

 

今回発見された脆弱性ですが、SQLインジェクションと、クロスサイトリクエストフォージェリという、これまた定番の脆弱性となります。

119425 2015-03-11 WordPress SEO by Yoast Plugin for WordPress Multiple Parameter SQL Injection

WordPress SEO by Yoast Plugin for WordPress contains a flaw that may allow carrying out an SQL injection attack. The issue is due to the program not properly sanitizing user-supplied input to the ‘order_by’ and ‘order’ parameters. This may allow a remote attacker to inject or manipulate SQL queries in the back-end database, allowing for the manipulation or disclosure of arbitrary data.

119426 2015-03-11 WordPress SEO by Yoast Plugin for WordPress Unspecified CSRF

WordPress SEO by Yoast Plugin for WordPress contains a flaw as HTTP requests do not require multiple steps, explicit confirmation, or a unique token when performing certain sensitive actions. By tricking a user into following a specially crafted link, a context-dependent attacker can perform a Cross-Site Request Forgery (CSRF / XSRF) attack causing the victim to perform unspecified actions.

脆弱性自体はすでに修正されており、最新版である1.7.4以上を用いることで回避できます。

 

これだけ多くの人に利用されているプラグインに脆弱性があることは大きなリスクですが、修正が早いことは大きく評価できるところでしょう。

脆弱性の最新情報にはいつも気を配りたいものです。

 

 

LINEで送る
Pocket

こんな記事も読まれています