CVE-2024-4984: Yoast SEO Flaw Exposes Millions of WordPress Sites to Attack
2024/05/16 SecurityOnline — WordPress プラグイン Yoast SEO は、500万以上のアクティブなインストールを持ち、広く使用されている製品である。そのYoast SEO に、Stored Cross-Site Scripting (XSS) の脆弱性 CVE-2024-4984 が発見された。 この脆弱性を悪用する行為者は、有害なスクリプトを Web サイトに注入することを可能にし、訪問者のデータを危険にさらし、トラフィックをリダイレクトするだけではなく、影響を受けるサイトのコントロールを奪うこともあり得るという。
XSS の脆弱性とは?
この XSS の脆弱性は、ブログのポストやページにおいて、作者の名前を表示するために用いられる “display_name” 作者メタフィールドに存在する。入力のサニタイズと出力のエスケープが不十分なため、コントリビューター以上のアクセス権を持つ攻撃者であれば、このフィールドを操作して悪意のコードを注入できる。こうして、悪意のコードで侵害されたページにユーザーがアクセスすると、そこに埋め込まれたスクリプトが実行され、深刻な被害がもたらされる可能性が生じる。
この脆弱性は、セキュリティ研究者の rob006 により発見され、Yoast に報告された。
誰が影響を受けるのか?
Yoast SEO バージョン 22.6 以下を実行している、WordPress Web サイトが危険にさらされている。このプラグインの人気の高さを考慮すると、何百万もの Web サイトがこ、の脆弱性にさらされる可能性がある。Web サイトの所有者/管理者/開発者に対して強く推奨されるのは、最新バージョン 22.7 へと直ちにアップデートすることだ。
リスクについて
この XSS 攻撃が成功した場合の影響は深刻であり、以下のような影響が考えられる:
- データの窃取:ユーザー認証情報や財務データなどの機密情報が、 攻撃者に盗まれる可能性がある。
- Web サイトの改ざん: Web サイトの外観やコンテンツが、攻撃者により改ざんされる可能性がある。
- フィッシング攻撃: 偽のログインページやポップアップを作成するハッカーが、ユーザーを騙して情報を漏えいさる。
- マルウェアの配布: 注入されたスクリプトにより、訪問者のデバイスにマルウェアがダウンロードされる。
対策
最も重要なステップは、Yoast SEO バージョン 22.7 以降へと、アップデートすることだ。バージョン 22.7 には、この XSS 脆弱性に対処するパッチが含まれている。また、ユーザー権限を見直し、コントリビューター・レベルのアクセス権付与は、信頼できる個人のみに制限することも重要である。
WordPress の Yoast SEO プラグインに、XSS の脆弱性 CVE-2024-4984 が発見されたとのことです。人気のプラグインらしいので、影響が広範囲に及ぼ可能性もあります。ご利用のチームは、ご注意意ください。つい先日の 2024/05/06 にも、「WordPress プラグイン Yoast SEO の深刻な脆弱性 CVE-2024-4041 が FIX:ただちにアップデートを!」という記事がポストされています。よろしければ、WordPress で検索と併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.