Οι παλαιότερες εκδόσεις του δημοφιλούς WordPress plugin All in One SEO περιέχουν μια ευπάθεια που επιτρέπει σε έναν εισβολέα να αποθηκεύσει κακόβουλο κώδικα στο admin panel που θα μπορούσε ενδεχομένως να τον βοηθήσει να αναλάβει την διαχείριση της ιστοσελίδας.
Το συγκεκριμένο plugin (All in One SEO) βοηθά τους διαχειριστές σελίδων στην βελτίωση του SEO (Search Engine Optimization) με πάρα πολλές ρυθμίσεις.
Μία από αυτές τις ρυθμίσεις ονομάζεται Bot Blocker και επιτρέπει στους διαχειριστές να αποφασίσουν ποια μηχανή αναζήτησης επιτρέπεται να έχει πρόσβαση στον ιστότοπό τους. Αυτή η ρύθμιση είναι απενεργοποιημένη από προεπιλογή, οπότε δεν υπάρχει λόγος ανησυχίας για τους χρήστες του plugin.
Αν τώρα κάποιος χρησιμοποιεί αυτή τη λειτουργία, σύμφωνα με τον ερευνητή ασφάλειας David Vaartjes, το plugin καταγράφει αυτές τις επισκέψεις των bots, χωρίς να καθαρίζει το κείμενο που υπάρχει στο User Agent.
Έτσι αν ένας επιτιθέμενος μπορεί να αλλάξει αυτά τα χαρακτηριστικά προσαρτώντας κακόβουλο κώδικα, (αν φυσικά γνωρίζει ποιο bot είναι αποκλεισμένο στο site) τότε η επίθεση είναι επιτυχής.
Αν και θα πρέπει να συμπέσουν πάρα πολλοί παράμετροι για να ολοκληρωθεί επιτυχώς η επίθεση, μην περιμένετε, αναβαθμίστε στην επόμενη έκδοση…