in One SEO Pack ist alles eins der beliebtesten Plugins für Wordpress. Es ist eigentlich die meisten Downloads Plugin, mit ca. 30 Millionen Downloads! Jedes sicherheitsbezogene Problem mit einer so trendigen Anwendung wäre ein Albtraum für die Benutzer. Leider, Sicherheitsforschungen haben eine Schwachstelle innerhalb des Plugins aufgedeckt, die es einem Angreifer ermöglichen könnte, bösartigen Code im Admin-Panel von WP zu speichern.
Der Sicherheitsforscher David Vaartjes beschreibt die Schwachstelle als gespeicherte Cross-Site-Scripting-Schwachstelle, finden Sie in der Bot-Blocker-Funktion des All in One SEO Pack WordPress Plugins. Der Forscher hat das Problem in der Version des All in One SEO Pack WordPress Plugins getestet 2.3.6.1.
verbunden: Wer betreibt veraltete Wordpress und Drupal-Versionen?
Was ist alles in einem SEO Pack WordPress Plugin?
Das Plugin ist sehr beliebt, wie verlautet “das am häufigsten heruntergeladene Plugin für WordPress”. Es hilft Benutzern und Webmastern, ihre Website automatisch für Suchmaschinen zu optimieren, indem es einfache Einstellungen zum Ein- und Ausschalten bereitstellt..
Details zur Bot-Blocker-Sicherheitslücke
In der Bot-Blocker-Funktion des All in One SEO Pack WordPress Plugins liegt eine gespeicherte Cross-Site Scripting-Schwachstelle vor (1+ Millionen aktive Installationen). Besonders interessant an diesem Problem ist, dass ein anonymer Benutzer seine XSS-Nutzlast einfach im Admin-Dashboard speichern kann, indem er einfach die öffentliche Site mit einem fehlerhaften User-Agent- oder Referrer-Header besucht.
Warum wird die Bot-Blocker-Funktionalität verwendet?? Die Funktionalität verhindert, dass bestimmte Bots eine Website crawlen oder sogar darauf zugreifen. Erkennung von Bots ist dank User-Agent- und Referrer-Header-Mustern möglich. Wenn der User Agent einen der vorkonfigurierten Bot-Namen enthält, wie z “Abonti”, “Bullseye” oder “Exabot” die Anfrage ist blockiert und a 404 ist zurück gekommen, Der Forscher erklärt. Wenn die Einstellung Blockierte Bots verfolgen aktiviert ist (es ist standardmäßig nicht aktiviert), Blockierte Anfragen werden auf der HTML-Seite ohne die erforderliche Bereinigung oder Ausgabecodierung protokolliert. So ist ein XSS erlaubt.
Ein XSS betriebene Angriff findet statt, wenn böswillige Akteure bösartige Skripte auf legitime Websites implementieren. Eine XSS-Schwachstelle ausgenutzt, wenn Sie, beispielsweise, Bitte senden Sie eine Website-Inhalte, die eingebettete schädliche JavaScript enthält. Die Website beinhaltet später den Code in ihrer Antwort.
Ist das All-in-One-SEO-Pack-Problem behoben??
Zum Glück für WordPress-Administratoren, die das Plugin verwenden, der Fehler wurde in der neuesten Version behoben – All in One SEO Pack 2.3.7. Auch, Denken Sie daran, dass der Angriff von David Vaartjes in der Version des Plugins getestet wurde 2.3.6.1. Ältere Versionen können dem Problem ausgesetzt sein, zu. Auf alle Fälle, Es wird dringend empfohlen, so schnell wie möglich auf die neueste Version zu aktualisieren.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: