web製作

「All in One SEO Pack」に深刻な脆弱性/wordpress

 当サイトでも利用しており、またうちのお客さんの全てのサイトでも利用しているプラグイン「All in One SEO Pack」に深刻な脆弱性がが発見されたと発表があった。

 それに伴う、問題を修正する更新版が7月8日に公開されている。

現時点での最新バージョンは、2.3.8
プラグインの更新はwordpressの管理画面から行える。

以下、「ITmediaエンタープライズ」の記事より引用。

セキュリティ研究者が公開した情報によると、同プラグインの「Bot Blocker」と呼ばれる機能にクロスサイトスクリプティング(XSS)の脆弱性が見つかった。

Bot Blocker機能は、特定のボットによるWebサイトへのアクセスを防止する機能で、User AgentやReferrerヘッダのパターンをもとにボットを検出する。同機能の設定で「Track Blocked Bots」を有効にしている場合(初期設定は無効)、HTMLページに記録されるブロック済みリクエストの検証が不適切な問題を突かれてXSS攻撃を仕掛けられ、管理者のセッショントークンを盗まれたり、攻撃者に任意の動作を実行されたりする恐れがあるという。

脆弱性はAll in One SEO Packの2.3.6.1までのバージョンで確認され、研究者はコンセプト実証コードも公開した。7月8日にリリースされたバージョン2.3.7で問題は修正されたとしている。

原文の記事はこちら

Persistent Cross-Site Scripting in All in One SEO Pack WordPress Plugin
------------------------------------------------------------------------
David Vaartjes, July 2016

------------------------------------------------------------------------
Abstract
------------------------------------------------------------------------
A stored Cross-Site Scripting vulnerability was found in the Bot Blocker
functionality of the All in One SEO Pack WordPress Plugin (1+ million
active installs). This issue allows an attacker to perform a wide
variety of actions, such as stealing Administrators' session tokens, or
performing arbitrary actions on their behalf.

------------------------------------------------------------------------
Tested versions
------------------------------------------------------------------------
This issue was successfully tested on the All in One SEO Pack WordPress
Plugin version 2.3.6.1.

------------------------------------------------------------------------
Fix
------------------------------------------------------------------------
This issue has been fixed in version 2.3.7 of the plugin.

Free version https://wordpress.org/plugins/all-in-one-seo-pack/
Pro version https://semperplugins.com/all-in-one-seo-pack-pro-version/

------------------------------------------------------------------------
Details
------------------------------------------------------------------------
https://sumofpwn.nl/advisory/2016/persistent_cross_site_scripting_in_all_in_one_seo_pack_wordpress_plugin.html

_______________________________________________
Sent through the Full Disclosure mailing list
https://nmap.org/mailman/listinfo/fulldisclosure
Web Archives & RSS: http://seclists.org/fulldisclosure/

パソコン販売修理、web制作、ホームページ作成
GARAGE MASTER MOJA
ガレージマスターモジャ
福永 雅文
兵庫県姫路市船津町2039-6
兵庫県相生市矢野町榊731
TEL090-3990-0645

にほんブログ村 地域生活(街) 関西ブログ 姫路情報へにほんブログ村 野球ブログ 広島東洋カープへにほんブログ村 IT技術ブログへにほんブログ村 IT技術ブログ ホームページ・サイト制作支援へブログ王



ABOUT ME
moja
昭和47年生まれ。生まれた時からカープファン。 姫路生まれ姫路育ち。現在は相生市矢野町榊。 パソコン販売・修理・組立、出張サポート、ホームページ制作・WEBデザインなど。 奥さん1人と4男の父 真宗門徒
お問い合わせ

090-3990-0645

にほんブログ村 地域生活(街) 関西ブログ 姫路情報へにほんブログ村 子育てブログへにほんブログ村 野球ブログ 広島東洋カープへ