CYBER NEWS

All in One SEO Pack WordPress Plugin sårbarhed kan give mulighed XSS angreb

alt-i-én-seo-pack-stforum

All in One SEO Pack er en af ​​de mest populære plugins til WordPress. Det er faktisk den mest downloadede plugin, med ca. 30 million downloads! Enhver sikkerhedsrelateret problem med sådan en trendy ansøgning ville være et mareridt for brugerne. Desværre, sikkerhed forskning har afsløret en sårbarhed i plugin, der kunne gøre det muligt for en hacker at gemme skadelig kode i WP admin panel.

Sikkerhed forsker David Vaartjes beskriver sårbarhed som en lagret Cross-Site Scripting sårbarhed, fundet i Bot Blocker funktionalitet All in One SEO Pack WordPress Plugin. Forskeren har testet spørgsmålet på All in One SEO Pack WordPress Plugin-version 2.3.6.1.

Relaterede: Hvem Kører Forældet WordPress og Drupal Versioner?

Hvad er All in One SEO Pack WordPress Plugin?

Dette plugin er meget populær, efter sigende “den mest downloadede plugin til WordPress”. Det hjælper brugere og webmastere automatisk optimere deres website for søgemaskiner ved at give enkle indstillinger for at skifte til og fra.

Detaljer om Bot Blocker Sårbarhed

En gemt Cross-Site Scripting sårbarhed i Bot Blocker funktionalitet All in One SEO Pack WordPress Plugin (1+ million aktive installationer). Særlig interessant om dette problem er, at en anonym bruger simpelthen kan gemme sin XSS nyttelast i Admin instrumentbrættet ved blot at besøge den offentlige websted med et misdannet User Agent eller Henviser header.


Hvorfor er det Bot Blocker funktionalitet, der bruges?
Funktionaliteten hjælper med at forhindre visse robotter i at gennemgå eller endda at få adgang til en hjemmeside. Påvisning af robotter er muligt takket være User Agent og Referrer header mønstre. Når brugeren Agent indeholder en af ​​de præ-konfigurerede liste over bot navne som “Abonti”, “Bullseye” eller “Exabot” anmodningen er blokeret og en 404 returneres, forskeren forklarer. Når Blokeret Bots indstillingen Track er aktiveret (det er ikke aktiveret som standard), blokerede anmodninger er logget ind på HTML-siden uden den nødvendige desinficering eller output kodning. Det er sådan en XSS er tilladt.

Hvad er en XSS angreb?
En XSS-drevne angreb finder sted, når ondsindede aktører gennemfører ondsindede scripts til legitime websteder. En XSS sårbarhed udnyttes, når du, for eksempel, sende en hjemmeside indhold, der indeholder indlejrede ondsindet JavaScript. Hjemmesiden vil senere omfatte koden i sit svar.

Er All in One SEO Pack Issue Fixed?

Heldigvis for WordPress admins hjælp af plugin, fejlen er rettet i den seneste version - All in One SEO Pack 2.3.7. Også, huske på, at angrebet blev testet af David Vaartjes i plugin version 2.3.6.1. Ældre versioner kan blive udsat for problemet, for. I alle tilfælde, det stærkt anbefales, at du opdaterer til den nyeste version så hurtigt som muligt.

Milena Dimitrova

Milena Dimitrova

En inspireret forfatter og indhold leder, der har været med SensorsTechForum siden begyndelsen. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim

Flere indlæg

Følg mig:
Twitter

Efterlad en kommentar

Din e-mail-adresse vil ikke blive offentliggjort. Krævede felter er markeret *

Frist er opbrugt. Venligst genindlæse CAPTCHA.

Del på Facebook Del
Loading ...
Del på Twitter Tweet
Loading ...
Del på Google Plus Del
Loading ...
Del på Linkedin Del
Loading ...
Del på Digg Del
Del på Reddit Del
Loading ...
Del på Stumbleupon Del
Loading ...