Национальная база данных уязвимостей США опубликовала рекомендацию о двух уязвимостях, обнаруженных в плагине All In One SEO WordPress.
Плагин All In One SEO (AIOSEO), который имеет более трех миллионов активных установок, уязвим для двух атак межсайтового скриптинга (XSS).
Уязвимости затрагивают все версии AIOSEO до версии 4.2.9 включительно.
Содержание
Сохраненный межсайтовый скриптинг
Атаки с использованием межсайтовых сценариев (XSS) — это форма эксплойта, включающая вредоносные сценарии, выполняемые в браузере пользователя, которые затем могут привести к доступу к файлам cookie, сеансам пользователя и даже захвату сайта.
Двумя наиболее распространенными формами атак межсайтового скриптинга являются:
- Отраженный межсайтовый скриптинг
- Сохраненный межсайтовый скриптинг
Отраженный XSS основан на отправке скрипта пользователю, который нажимает на него, который переходит на уязвимый сайт, который затем «отражает» атаку обратно на пользователя.
Сохраненный XSS — это когда вредоносный скрипт находится на самом уязвимом сайте.
Хакеры используют любую форму ввода на веб-сайте, такую как контактная форма, форма загрузки изображения, любую область, где кто-то может загрузить или отправить заявку.
Уязвимость возникает, когда недостаточно проверок безопасности для блокировки нежелательных входных данных.
Две проблемы, влияющие на подключаемый модуль AIOSEO, связаны с хранимыми межсайтовыми сценариями.
CVE-2023-0585
Уязвимости присваиваются номера, чтобы отслеживать их. Присвоена первая, CVE-2023-0585.
Эта уязвимость возникает из-за невозможности дезинфицировать входные данные. Это означает, что фильтрация недостаточна, чтобы предотвратить загрузку вредоносного скрипта хакером.
Уведомление Национальной базы данных уязвимостей (NVD) описывает это следующим образом:
«Плагин All in One SEO Pack для WordPress уязвим к хранимым межсайтовым сценариям из-за нескольких параметров в версиях до 4.2.9 включительно из-за недостаточной очистки ввода и экранирования вывода.
Это позволяет аутентифицированным злоумышленникам с ролью администратора или выше внедрять произвольные веб-скрипты на страницы, которые будут выполняться всякий раз, когда пользователь получает доступ к внедряемой странице».
Уязвимости был присвоен уровень угрозы 4,4 (из десяти), что является средним уровнем.
Злоумышленник должен сначала получить права администратора или выше, чтобы совершить эту атаку.
CVE-2023-0586
Эта атака похожа на первую. Основное отличие состоит в том, что злоумышленнику необходимо иметь привилегии доступа к веб-сайту как минимум на уровне участника.
Роль уровня участника имеет возможность создавать контент, но не публиковать его.
Уязвимость также относится к угрозе среднего уровня, но ей присвоен более высокий балл уязвимости — 6,4.
Это описание:
«Плагин All in One SEO Pack для WordPress уязвим к хранимым межсайтовым сценариям из-за нескольких параметров в версиях до 4.2.9 включительно из-за недостаточной очистки ввода и экранирования вывода.
Это позволяет аутентифицированным злоумышленникам с ролью Contributor+ внедрять произвольные веб-скрипты на страницы, которые будут выполняться всякий раз, когда пользователь обращается к внедряемой странице».
Рекомендованное действие
Для первой уязвимости требуются привилегии уровня администратора, и ей присваивается относительно низкий средний уровень угрозы — 4,4.
Но вторая уязвимость требует только более низкого уровня привилегий и имеет более высокий рейтинг 6,4.
Как правило, рекомендуется обновлять все уязвимые плагины. Плагин AIOSEO версии 4.3.0 содержит исправление безопасности, упомянутое в официальном Журнал изменений AIOSEO в качестве дополнительного «усиления безопасности».
Подробнее о двух уязвимостях:
Избранное изображение Shutterstock/Bangun Stock Productions
