Ευπάθεια στο All in One SEO WordPress plugin επιτρέπει XSS

Οι παλαιότερες εκδόσεις του δημοφιλούς All in One SEO περιέχουν μια ευπάθεια που επιτρέπει σε έναν εισβολέα να αποθηκεύσει κακόβουλο κώδικα στο panel που θα μπορούσε ενδεχομένως να τον βοηθήσει να αναλάβει την διαχείριση της ιστοσελίδας.WordPress All in One SEO

Το συγκεκριμένο plugin (All in One SEO) βοηθά τους διαχειριστές σελίδων στην βελτίωση του SEO (Search Engine Optimization) με πάρα πολλές ρυθμίσεις.

Μία από αυτές τις ρυθμίσεις ονομάζεται Bot Blocker και επιτρέπει στους διαχειριστές να αποφασίσουν ποια μηχανή αναζήτησης επιτρέπεται να έχει πρόσβαση στον ιστότοπό τους. Αυτή η ρύθμιση είναι απενεργοποιημένη από προεπιλογή, οπότε δεν υπάρχει λόγος ανησυχίας για τους χρήστες του plugin.

Αν τώρα κάποιος χρησιμοποιεί αυτή τη λειτουργία, σύμφωνα με τον ερευνητή ασφάλειας David Vaartjes, το plugin καταγράφει αυτές τις επισκέψεις των , χωρίς να καθαρίζει το κείμενο που υπάρχει στο User Agent.

Έτσι αν ένας επιτιθέμενος μπορεί να αλλάξει αυτά τα χαρακτηριστικά προσαρτώντας κακόβουλο κώδικα, (αν φυσικά γνωρίζει ποιο bot είναι αποκλεισμένο στο site) τότε η επίθεση είναι επιτυχής.

  Η TeamViewer ανακοινώνει την ενσωμάτωσή της στο Slack

Αν και θα πρέπει να συμπέσουν πάρα πολλοί παράμετροι για να ολοκληρωθεί επιτυχώς η επίθεση, μην περιμένετε, αναβαθμίστε στην επόμενη έκδοση…

Written by Δημήτρης

O Δημήτρης μισεί τις Δευτέρες.....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).