CYBER NOTICIAS

Todo en uno SEO Pack de vulnerabilidad de WordPress Plugin podrían permitir ataques XSS

todo-en-uno-seo-pack-stforum

Todo en uno SEO Pack es uno de los plugins más populares para WordPress. En realidad, es el plugin más descargados, con aproximadamente 30 millón de descargas! Cualquier asunto relacionado con la seguridad de una aplicación de este tipo de moda sería una pesadilla para los usuarios. Desafortunadamente, la investigación de seguridad ha revelado una vulnerabilidad en el plugin que podría permitir a un atacante para almacenar un código malicioso en el panel de administración de WP.

El investigador de seguridad David Vaartjes describe la vulnerabilidad como una vulnerabilidad XSS almacenado, que se encuentra en la funcionalidad Bot Bloqueador del todo en un paquete de SEO WordPress Plugin. El investigador ha probado el tema en la versión todo en uno SEO Pack de WordPress Plugin 2.3.6.1.

Relacionado: ¿Quién dirige WordPress que ha sido superado y las versiones de Drupal?

¿Qué es todo en un paquete de SEO WordPress Plugin?

El plugin es muy popular, según se informa “el plugin para WordPress más descargados”. Ayuda a los usuarios y webmasters optimizar automáticamente su sitio para los motores de búsqueda, proporcionando ajustes simples para activar y desactivar.

Los detalles sobre la vulnerabilidad de Bot Bloqueador

Existe una vulnerabilidad XSS almacenado en la funcionalidad Bot Bloqueador del todo en un paquete de SEO WordPress Plugin (1+ millones de instalaciones activas). Particularmente interesante de este tema es que un usuario anónimo puede simplemente almacenar su carga útil XSS en el tablero de instrumentos de administración con sólo visitar el sitio público con un agente de usuario con formato incorrecto o encabezado de referencia.


¿Por qué la funcionalidad Bot bloqueador que se usa?
La funcionalidad ayuda a prevenir ciertos los robots de rastreo o incluso acceder a un sitio web. La detección de los robots es posible gracias al agente de usuario y los patrones de cabecera referencial. Cuando el agente de usuario contiene uno de la lista preconfigurada de nombres como bot “Abonti”, “Diana” o “Exabot” la solicitud se bloquea y una 404 se devuelve, explica el investigador. Cuando se habilita el ajuste Motores de búsqueda Bloqueado Pista (no está habilitado de forma predeterminada), solicitudes bloqueadas se registran en la página HTML sin la desinfección sea necesario o codificación de salida. Es así como se permite que un XSS.

¿Qué es un ataque XSS?
Un ataque XSS-powered se lleva a cabo cuando los actores maliciosos ejecutar scripts maliciosos a sitios web legítimos. Una vulnerabilidad XSS es explotado cuando, por ejemplo, enviar un contenido del sitio web que incluye código JavaScript malicioso embebido. El sitio web incluirá más adelante el código en su respuesta.

Es el Todo en Uno Edición paquete de SEO fijo?

Afortunadamente para los administradores de WordPress utilizando el plug-in, el error se ha corregido en su última versión - Todo en un paquete de SEO 2.3.7. También, tener en cuenta que el ataque fue probado por David Vaartjes en la versión del plugin 2.3.6.1. Las versiones más antiguas pueden estar expuestos a la cuestión, demasiado. En todos los casos, es muy recomendable que actualice a la última versión tan pronto como sea posible.

Milena Dimitrova

Milena Dimitrova

Un escritor inspirado y gestor de contenidos que ha estado con SensorsTechForum desde el comienzo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim

Más Mensajes

Sígueme:
Gorjeo

Dejar un comentario

Su dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

Se agotó el tiempo límite. Vuelve a cargar de CAPTCHA.

Compartir en Facebook Compartir
Cargando ...
Compartir en Twitter Pío
Cargando ...
Compartir en Google Plus Compartir
Cargando ...
Compartir en Linkedin Compartir
Cargando ...
Compartir en Digg Compartir
Compartir en Reddit Compartir
Cargando ...
Compartir en Stumbleupon Compartir
Cargando ...