| Summary | The Semper Fi All in One SEO Pack plugin before 2.2.6 for WordPress does not consider the presence of password protection during generation of the Meta Description field, which allows remote attackers to obtain sensitive information by reading HTML source code. |
|---|---|
| Publication Date | April 3, 2015, 7:59 p.m. |
| Registration Date | Jan. 26, 2021, 2:45 p.m. |
| Last Update | Nov. 21, 2024, 11:23 a.m. |
| CVSS2.0 : MEDIUM | |
| Score | 5.0 |
|---|---|
| Vector | AV:N/AC:L/Au:N/C:P/I:N/A:N |
| 攻撃元区分(AV) | ネットワーク |
| 攻撃条件の複雑さ(AC) | 低 |
| 攻撃前の認証要否(Au) | 不要 |
| 機密性への影響(C) | 低 |
| 完全性への影響(I) | なし |
| 可用性への影響(A) | なし |
| Get all privileges. | いいえ |
| Get user privileges | いいえ |
| Get other privileges | いいえ |
| User operation required | いいえ |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:semperfiwebdesign:all_in_one_seo_pack:*:*:*:*:*:wordpress:*:* | 2.2.5.1 | ||||
| Title | WordPress 用プラグイン All in One SEO Pack における情報管理不備の脆弱性 |
|---|---|
| Summary | All in One SEO Pack は、WordPress 用のプラグインです。All in One SEO Pack では、初期設定で、本文の一部を含む META タグをページに追加する機能が有効となっています。追加された META タグから、WordPress の「パスワード保護」機能で閲覧を制限したページであっても、本文の一部を閲覧される可能性があります。 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。 報告者: レスキューワーク株式会社 水野史土 氏 |
| Possible impacts | パスワード保護したページの本文の一部が、パスワードを知らない第三者によって閲覧される可能性があります。 |
| Solution | [アップデートする] 開発者が提供する情報をもとに、最新版へアップデートしてください。 [ワークアラウンドを実施する] 次のワークアラウンドを実施することで、本脆弱性の影響を回避することが可能です。 * All in One SEO Pack の設定画面で「詳細を自動生成」("Autogenerate Descriptions") 機能を無効にする |
| Publication Date | March 31, 2015, midnight |
| Registration Date | March 31, 2015, 12:17 p.m. |
| Last Update | April 7, 2015, 5:23 p.m. |
| Semper Fi Web Design |
| All in One SEO Pack Version 2.2.5.1 およびそれ以前 |
| No | Changed Details | Date of change |
|---|---|---|
| 0 | [2015年03月31日] 掲載 [2015年04月07日] 参考情報:National Vulnerability Database (NVD) (CVE-2015-0902) を追加 |
Feb. 17, 2018, 10:37 a.m. |