Ευπάθεια στο All in One SEO WordPress plugin επιτρέπει XSS

Οι παλαιότερες εκδόσεις του δημοφιλούς WordPress plugin All in One SEO περιέχουν μια ευπάθεια που επιτρέπει σε έναν εισβολέα να αποθηκεύσει κακόβουλο κώδικα στο admin panel που θα μπορούσε ενδεχομένως να τον βοηθήσει να αναλάβει την διαχείριση της ιστοσελίδας.WordPress All in One SEO

Το συγκεκριμένο plugin (All in One SEO) βοηθά τους διαχειριστές σελίδων στην βελτίωση του SEO (Search Engine Optimization) με πάρα πολλές ρυθμίσεις.

Μία από αυτές τις ρυθμίσεις ονομάζεται Bot Blocker και επιτρέπει στους διαχειριστές να αποφασίσουν ποια μηχανή αναζήτησης επιτρέπεται να έχει πρόσβαση στον ιστότοπό τους. Αυτή η ρύθμιση είναι απενεργοποιημένη από προεπιλογή, οπότε δεν υπάρχει λόγος ανησυχίας για τους χρήστες του plugin.

Αν τώρα κάποιος χρησιμοποιεί αυτή τη λειτουργία, σύμφωνα με τον ερευνητή ασφάλειας David Vaartjes, το plugin καταγράφει αυτές τις επισκέψεις των bots, χωρίς να καθαρίζει το κείμενο που υπάρχει στο User Agent.

Έτσι αν ένας επιτιθέμενος μπορεί να αλλάξει αυτά τα χαρακτηριστικά προσαρτώντας κακόβουλο κώδικα, (αν φυσικά γνωρίζει ποιο bot είναι αποκλεισμένο στο site) τότε η επίθεση είναι επιτυχής.

Αν και θα πρέπει να συμπέσουν πάρα πολλοί παράμετροι για να ολοκληρωθεί επιτυχώς η επίθεση, μην περιμένετε, αναβαθμίστε στην επόμενη έκδοση…

iGuRu.gr The Best Technology Site in Greecegns

κάθε δημοσίευση, άμεσα στο inbox σας

Προστεθείτε στους 2.111 εγγεγραμμένους.

Written by Δημήτρης

O Δημήτρης μισεί τις Δευτέρες.....

Αφήστε μια απάντηση

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).