自分のためのメモ

All in One SEO ver.4.0.0~4.1.5.2で脆弱性

WPサイトでSEO対策やサイトマップ生成でお馴染みの
All in One SEOのver.4.0.0~4.1.5.2で緊急性の高い脆弱性が発見されたとの事。

  • データベースの非公開データが漏洩する可能性
  • 第三者によって悪意のある任意のコマンドを実行される可能性

確か4系からインターフェースがガラっと変わって、
且つ高機能(有償版へのアップデート推奨コンテンツの充実)になった一方、
今までの画面に慣れてしまっていた方は新規制作事案でも「敢えて」3系をFTP経由で
アップして利用しているケースもあるのでは。

4.0.0~4.1.5.2という書き方だと3系以下は問題ないの?って思ってしまいたい。

以下サイトによると
https://jetpack-com.translate.goog/2021/12/14/severe-vulnerabilities-fixed-in-all-in-one-seo-plugin-version-4-1-5-3/?_x_tr_sl=en&_x_tr_tl=ja&_x_tr_hl=ja
「影響を受ける範囲内にある場合は」とあるのと、
念のためver3.3.5とver4.1.5.2のファイルを見比べると、
今回問題のあるコードのような記述が3.3.5には見当たらなかったので(メジャーバージョンが違うので当然といえば当然か、、)

一旦様子を見ようと思う。