独立行政法人 情報処理推進機構（IPA）および一般社団法人 JPCERT コーディネーションセンター（JPCERT/CC）は3月6日、All In One WP Security & Firewallが提供するWordPress用のセキュリティプラグイン「All In One WP Security & Firewall」に複数の脆弱性が存在すると「Japan Vulnerability Notes（JVN）」で発表した。CVSSによる最大Base Scoreは5.1。
　
　「All In One WP Security & Firewall v3.8.9 およびそれ以前」には、クロスサイトリクエストフォージェリの脆弱性（CVE-2015-0895）が、また「All In One WP Security & Firewall v3.8.7 およびそれ以前」には、SQLインジェクションの脆弱性（CVE-2015-0894）がそれぞれ存在する。この脆弱性が悪用されると、当該製品にログインした状態で細工されたページにアクセスした場合、本プラグインが管理するアクセスログ（404 イベント）が削除される、あるいは任意のSQLコマンドを実行される可能性がある。JVNでは、開発者が提供する情報をもとに最新版へアップデートするよう呼びかけている。

　元の記事を読む