「WordPress」向けに提供されている人気プラグイン「All In One SEO(AIOSEO)」に複数の脆弱性が明らかとなった。
【セキュリティ ニュース】WordPress向けに人気SEOプラグインに複数の脆弱性(1ページ目 / 全1ページ):Security NEXT
一部要素に対してスクリプトを挿入することが可能となるクロスサイトスクリプティング(XSS)の脆弱性2件が明らかとなったもの。DEFIANTが脆弱性を発見し、1月26日に開発者へ報告した。
「CVE-2023-0585」について管理者権限が必要。一方「CVE-2023-0586」については寄稿者以上の権限で悪用できるため、投稿を編集者などがチェックした際などに悪用されるシナリオなどが想定されるとしている。
共通脆弱性評価システム「CVSSv3」における脆弱性のベーススコアは、「CVE-2023-0586」を「6.4」、「CVE-2023-0585」を「4.4」と評価。重要度をいずれも「中(Medium)」としている。
【セキュリティ ニュース】WordPress向けに人気SEOプラグインに複数の脆弱性(1ページ目 / 全1ページ):Security NEXT