サイバーセキュリティ企業のSucuriは12月21日(現地時間)、公式ブログの記事「Critical Vulnerabilities in All in One SEO Plugin Affects Millions of WordPress Websites」において、WordPressの人気プラグイン「All in One SEO」に2件の脆弱性が報告されており、300万以上のWebサイトが影響を受ける恐れがあるとして注意を促した。これらの脆弱性を放置すると、攻撃者によってWebサイトの乗っ取りやデータベースに記録された情報の盗み出しなどに悪用される危険があるという。
報告されている脆弱性は次の2件。All in One SEOのバージョン4.0.0から4.1.5.2が影響を受けるとのこと。
- 認証されたユーザーによる特権昇格の脆弱性(バージョン4.0.0から4.1.5.2に影響)
- 認証されたユーザーによるSQLインジェクションの脆弱性(バージョン4.1.3.1から4.1.5.2に影響)
いずれの脆弱性も、悪用するには攻撃者がWebサイトに対する何らかのアカウントを持っている必要があるが、アカウントの権限は「Subscriber」と同等の低レベルのもので十分だという。
前者は、このプラグインがWordPressのREST APIにアクセスする際の権限チェックに関連する脆弱性である。All in One SeoではWordPressのさまざまなREST APIエンドポイントにアクセスできるが、通常はアクセスの際に権限チェックが行われる。しかし、リクエストの1文字を大文字に変えるだけで権限チェックをバイパスすることができる。これが悪用されると、攻撃者はWordPressの構成ファイルを書き換え、結果的にWebサイトを乗っ取ってアカウントの特権を管理者に昇格できる可能性があるとのこと。
後者の脆弱性は特定のエンドポイントに対するSQLインジェクション攻撃が可能な脆弱性になる。対象のエンドポイントは権限の低いアカウントからアクセスできるようにはなっていないものの、前述の特権昇格の脆弱性と組み合わせることによって攻撃に利用することが可能となる。これによって、攻撃者はデータベースからユーザーの資格情報や管理者情報などの機密データを取得できる可能性があるという。
これらの脆弱英は悪用が容易である点が大きな特徴で、CVSS v3の基本スコアは前者が9.9で深刻度「緊急」、後者が7.7で深刻度「高」に指定されている。いずれの脆弱性も最新版であるバージョン4.1.5.3にアップデートすることによって回避することができる。
Sucuriの記事によると、All in One SEOは300万を超えるWebサイトで使用されていることから極めて影響が大きいとのこと。対象のバージョンを使用しているWebサイトの管理者は早急にアップデートを適用することが推奨されている。