All in One SEO Pack er en af de mest populære plugins til WordPress. Det er faktisk den mest downloadede plugin, med ca. 30 million downloads! Enhver sikkerhedsrelateret problem med sådan en trendy ansøgning ville være et mareridt for brugerne. Desværre, sikkerhed forskning har afsløret en sårbarhed i plugin, der kunne gøre det muligt for en hacker at gemme skadelig kode i WP admin panel.
Sikkerhed forsker David Vaartjes beskriver sårbarhed som en lagret Cross-Site Scripting sårbarhed, fundet i Bot Blocker funktionalitet All in One SEO Pack WordPress Plugin. Forskeren har testet spørgsmålet på All in One SEO Pack WordPress Plugin-version 2.3.6.1.
Relaterede: Hvem Kører Forældet WordPress og Drupal Versioner?
Hvad er All in One SEO Pack WordPress Plugin?
Dette plugin er meget populær, efter sigende “den mest downloadede plugin til WordPress”. Det hjælper brugere og webmastere automatisk optimere deres website for søgemaskiner ved at give enkle indstillinger for at skifte til og fra.
Detaljer om Bot Blocker Sårbarhed
En gemt Cross-Site Scripting sårbarhed i Bot Blocker funktionalitet All in One SEO Pack WordPress Plugin (1+ million aktive installationer). Særlig interessant om dette problem er, at en anonym bruger simpelthen kan gemme sin XSS nyttelast i Admin instrumentbrættet ved blot at besøge den offentlige websted med et misdannet User Agent eller Henviser header.
Hvorfor er det Bot Blocker funktionalitet, der bruges? Funktionaliteten hjælper med at forhindre visse robotter i at gennemgå eller endda at få adgang til en hjemmeside. Påvisning af robotter er muligt takket være User Agent og Referrer header mønstre. Når brugeren Agent indeholder en af de præ-konfigurerede liste over bot navne som “Abonti”, “Bullseye” eller “Exabot” anmodningen er blokeret og en 404 returneres, forskeren forklarer. Når Blokeret Bots indstillingen Track er aktiveret (det er ikke aktiveret som standard), blokerede anmodninger er logget ind på HTML-siden uden den nødvendige desinficering eller output kodning. Det er sådan en XSS er tilladt.
En XSS-drevne angreb finder sted, når ondsindede aktører gennemfører ondsindede scripts til legitime websteder. En XSS sårbarhed udnyttes, når du, for eksempel, sende en hjemmeside indhold, der indeholder indlejrede ondsindet JavaScript. Hjemmesiden vil senere omfatte koden i sit svar.
Er All in One SEO Pack Issue Fixed?
Heldigvis for WordPress admins hjælp af plugin, fejlen er rettet i den seneste version - All in One SEO Pack 2.3.7. Også, huske på, at angrebet blev testet af David Vaartjes i plugin version 2.3.6.1. Ældre versioner kan blive udsat for problemet, for. I alle tilfælde, det stærkt anbefales, at du opdaterer til den nyeste version så hurtigt som muligt.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: