WordPressでSEO対策を行うプラグイン「Xagio SEO」のバージョン 7.1.0.5 以下のすべてのバージョンで、重大なセキュリティ脆弱性が発見されました。
この脆弱性により、ログイン権限のない攻撃者でもサイトのバックアップファイルに直接アクセスし、データベースの全内容やサイト全体のファイルを取得することが可能となっています。バックアップファイルには、ユーザーの個人情報、パスワード、サイト設定情報など、機密性の高いデータが含まれているため、早急な対応が必要です。対策バージョンへ 7.1.0.6 以降の更新を強く推奨します。
想定される事象
| 想定される被害 | この脆弱性により、以下のような被害が想定されます ・データベース情報の完全漏洩 - 全ユーザーのログイン情報(ID・パスワードハッシュ)が取得される - 投稿内容、コメント、個人設定などすべてのサイトデータが漏洩 - 管理者の認証情報から権限を完全に乗っ取られる可能性 ・サイト設定情報の漏洩 - wp-config.phpファイル内のデータベース接続情報が取得される - API キー、秘密鍵などの重要な設定情報が露出 - 他の連携サービスへの不正アクセスに利用される恐れ ・継続的な被害リスク - 一度取得された情報は攻撃者の手に残り続ける - バックアップファイルは定期的に作成されるため、新しい情報も継続して漏洩 - 気づかないうちに長期間にわたって被害が拡大する可能性 |
|---|---|
| 技術的な詳細 | この脆弱性は、以下の問題に起因します (1) バックアップディレクトリの保護不足 ・バックアップファイルを保存するディレクトリにアクセス制限が設定されていない ・ディレクトリ内のファイル一覧が外部から閲覧可能な状態 ・index.htmlなどのアクセス防止ファイルが配置されていない (2) 予測可能なファイル名構造 ・予測可能なファイル名でバックアップを生成 ・攻撃者がドメイン名と大まかな作成時期を推測できれば、ファイル名を特定可能 ・ランダムな要素が含まれておらず、総当たり攻撃で発見されやすい (3) 認証不要でのファイルアクセス ・WordPressの認証システムを通さずに直接ファイルにアクセス可能 ・バックアップディレクトリへのWebアクセスが制限されていない ・未ログイン状態でも機密ファイルのダウンロードが実行できる |
| 脆弱性の種類 | CWE-200 情報漏えい |
| 推奨対応事項 | 該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します (1) プラグインの緊急更新 ・プラグインを対策バージョン(7.1.0.6以降)に即座に更新 (2) 被害確認 ・バックアップファイルの確認 - /wp-content/plugins/xagio-seo/backups/ ディレクトリの存在確認- 不審なアクセス形跡がないかWebサーバーログをチェック - バックアップファイルが外部からアクセス可能だった期間の特定 ・アクセスログの確認 - バックアップディレクトリへの不審なアクセスの有無 - 短時間での大量のファイルアクセス - 通常とは異なるIPアドレスからのアクセス ・認証情報の確認 - 管理者アカウントの不正ログイン形跡 - 身に覚えのない設定変更やコンテンツ変更 - 新規ユーザーアカウントの不正作成 (3) 緊急セキュリティ対策 ・全ユーザーのパスワード変更:管理者を含む全アカウントのパスワードを変更 ・API キーの再生成:使用中の全てのAPI キー、接続設定の再設定 ・データベースパスワード変更:wp-config.phpの認証情報を変更 ・セキュリティプラグインの導入:WordPressセキュリティプラグインの緊急導入 ⇒バックアップファイルへの不審なアクセスが確認された場合や、サイトに異常な動作が見られる場合は、WordPressの専門家などへの緊急相談をお勧めします。 |
| 影響を受けるバージョン | Xagio SEO 7.1.0.5 以下のすべてのバージョン |
| 脆弱性情報 (CVE-ID / 公開日) | CVE-2024-13807 / 2025/08/28 |
| 脆弱性の深刻度 (CVSS v3) | 基本値: 7.5 (重大) [Wordfence] |
参考
Xagio SEO <= 7.1.0.5 – Unauthenticated Sensitive Information Exposure via Unprotected Back-Up Files
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
Xagio SEO プラグインをご利用のお客様へは、「対策バージョンへの更新状況と推奨対応事項」メールを順次ご案内しております。
WordPress プラグイン Xagio SEO 情報
| 最新版 バージョン | 7.1.0.24 |
|---|---|
| 対象 WordPress バージョン | 5.4 またはそれ以降 検証済み最新バージョン :6.8.2 |
| 有効インストール数 | 8,000+ |
| プラグイン ページ | Xagio SEO – AI Powered SEO – WordPress プラグイン | WordPress.org 日本語 |
