CYBER NEWS

in One SEO Pack-Wordpress Plugin Vulnerability Alle Könnte XSS zulassen Angriffe

All-in-one-seo-pack-stforum

in One SEO Pack ist alles eins der beliebtesten Plugins für Wordpress. Es ist eigentlich die meisten Downloads Plugin, mit ca. 30 Millionen Downloads! Any security-related issue with such a trendy application would be a nightmare for users. Leider, security research has revealed a vulnerability within the plugin that could enable an attacker to store malicious code in WP’s admin panel.

Der Sicherheitsforscher David Vaartjes describes the vulnerability as a stored Cross-Site Scripting vulnerability, found in the Bot Blocker functionality of the All in One SEO Pack WordPress Plugin. The researcher has tested the issue on the All in One SEO Pack WordPress Plugin version 2.3.6.1.

verbunden: Wer betreibt veraltete Wordpress und Drupal-Versionen?

What Is All in One SEO Pack WordPress Plugin?

The plugin is very popular, wie verlautet “the most downloaded plugin for WordPress”. It helps users and webmasters automatically optimize their site for search engines by providing simple settings to toggle on and off.

Details about the Bot Blocker Vulnerability

A stored Cross-Site Scripting vulnerability exists in the Bot Blocker functionality of the All in One SEO Pack WordPress Plugin (1+ million active installs). Particularly interesting about this issue is that an anonymous user can simply store his XSS payload in the Admin dashboard by just visiting the public site with a malformed User Agent or Referrer header.


Why is the Bot Blocker functionality used?
The functionality helps prevent certain bots from crawling or even accessing a website. Detection of bots is possible thanks to User Agent and Referrer header patterns. When the User Agent contains one of the pre-configured list of bot names likeAbonti”, “Bullseye” oder “Exabotthe request is blocked and a 404 is returned, Der Forscher erklärt. When the Track Blocked Bots setting is enabled (it’s not enabled by default), blocked requests are logged in the HTML page without the needed sanitization or output encoding. This is how an XSS is allowed.

What Is a XSS Attack?
Ein XSS betriebene Angriff findet statt, wenn böswillige Akteure bösartige Skripte auf legitime Websites implementieren. Eine XSS-Schwachstelle ausgenutzt, wenn Sie, beispielsweise, Bitte senden Sie eine Website-Inhalte, die eingebettete schädliche JavaScript enthält. Die Website beinhaltet später den Code in ihrer Antwort.

Is the All in One SEO Pack Issue Fixed?

Fortunately for WordPress admins using the plugin, the bug has been fixed in its latest version – All in One SEO Pack 2.3.7. Auch, keep in mind that the attack was tested by David Vaartjes in the plugin’s version 2.3.6.1. Older versions may be exposed to the issue, zu. Auf alle Fälle, it’s highly recommended that you update to the latest version as soon as possible.

Milena Dimitrova

Milena Dimitrova

Ein inspirierter Schriftsteller und Content-Manager, der seit Anfang an mit SensorsTechForum gewesen. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim

Mehr Beiträge

Folge mir:
Zwitschern

Schreibe einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Frist ist erschöpft. Bitte laden CAPTCHA.

Auf Facebook teilen Teilen
Loading ...
Empfehlen über Twitter Tweet
Loading ...
Share on Google Plus Teilen
Loading ...
Share on Linkedin Teilen
Loading ...
Empfehlen über Digg Teilen
Teilen auf Reddit Teilen
Loading ...
Empfehlen über Stumbleupon Teilen
Loading ...