Все в одном SEO Pack ставит под угрозу веб-сайты WordPress

  1. Последствия этих уязвимостей на сайте

305

Автор Адриан Креспо

Если он не самый известный, то можно без проблем сказать, что он один из самых известных. Кажется, все указывает на то, что на плагин блога WordPress « Все в одном» входит несколько проблем с безопасностью, которые ставят под угрозу целостность веб-сайта, позволяя масштабировать разрешения сторонним лицам.

Несомненно, его простота установки и использования позволила этому дополнению стать одним из наиболее используемых за пару лет. Однако это приводит к тому, что с учетом данного открытия на сегодняшний день существует более 15 миллионов веб-сайтов, затронутых несколькими уязвимостями, которые были обнаружены в этом дополнении.

В команде все в одном пакете SEO и были направлены на работу, чтобы попытаться решить проблему, и на данный момент удалось решить две уязвимости, возможно, наиболее важные из всех найденных, поскольку они позволили масштабировать привилегии третьим сторонам благодаря на использование атаки XSS.

Чтобы положить конец этим двум проблемам, пользователи этого дополнения должны загрузить новую версию, которая уже доступна, 2.1.6.

Последствия этих уязвимостей на сайте

Последствия этих уязвимостей на сайте

Как подробно рассказывает сама команда разработчиков дополнения, сбои безопасности позволяют людям, не имеющим доступа, вносить изменения в настройки SEO различных страниц или записей, которые могут существовать на веб-сайте.

В дополнение к этому они подробно рассказали, что с помощью атаки XSS третья сторона может получить права администратора и разрешить выполнение сценариев . Они подробно рассказывают, что это может быть использовано для того, чтобы веб-сайт использовался для распространения угрозы вредоносного ПО без уведомления его владельца.

Источник | Хакерские новости