All in One SEO Pack 中发现了一个新漏洞。 新发现的漏洞允许攻击者使用跨站点脚本攻击完全控制网站。
跨站脚本漏洞
研究人员发现了一种称为跨站点脚本漏洞 (XSS) 的问题。
它通常可能涉及受损的输入接口。 因此,用户可以输入和上传内容、图像或脚本的任何地方都需要进行“清理”,以防止上传恶意脚本。
典型的入口点可以是评论和表格。 但这些类型的漏洞利用也可能影响与非注册用户隔离的网站区域。
影响 All in One SEO Pack 的漏洞会影响需要用户具有发布权限的站点区域。
因此,它被描述为中等级别的漏洞。
一站式搜索引擎优化包是否易受攻击?
是的,All in One SEO Pack(3.6.1 及以下版本)容易受到 XSS 攻击。
这种特殊的利用会影响未清理的输入区域。
受影响的区域是 SEO 标题和 SEO 描述字段,具有发布权限的登录用户可以上传恶意脚本以获得管理访问权限、接管站点或感染站点访问者。
听起来很糟糕,这是一个中等严重性漏洞,因为它需要黑客访问具有发布权限的注册用户的登录凭据。
为了做到这一点,黑客可能需要使用社会工程技巧来窃取凭据或利用另一个插件或主题中的漏洞。
根据 WordFence 的说法,这就是该漏洞可能造成严重破坏的方式:
“由于每当用户访问‘所有帖子’页面时都会执行 JavaScript,因此该漏洞将成为能够访问允许他们发布内容的帐户的攻击者的主要目标。
由于贡献者必须提交所有帖子以供管理员或编辑审核,因此恶意的贡献者可以确信更高权限的用户会访问“所有帖子”区域以审核任何待处理的帖子。
如果恶意 JavaScript 在管理员的浏览器中执行,它可能被用来注入后门或添加新的管理用户并接管站点。”
漏洞是如何被发现的
WordFence 的安全研究人员于 2020 年 7 月 10 日在 All in One SEO Pack 中发现了该漏洞,并立即通知了该插件的发布者。
发布者着手更新漏洞,并在五天后的 2020 年 7 月 15 日发布了补丁。
WordFence 安全插件的高级用户在发现漏洞的同一天(2020 年 7 月 10 日)收到了防火墙规则更新。
All in One SEO Pack 的更新在他们的 变更日志:
“改进了 SEO 元字段的输出 + 为加强安全性添加了额外的清理”
All in One SEO Pack 更新日志的屏幕截图
将多合一 SEO 包更新到 3.6.2
鼓励使用 All in One SEO Pack 的每个人立即将其插件更新到版本 3.6.2。 虽然这被评为中等严重性漏洞,但仍需谨慎地修补插件以确保其安全。
引文
阅读官方 WordFence 公告
