Плагин Rank Math SEO с более чем 2+ миллионами пользователей недавно исправил уязвимость хранимого межсайтового скриптинга, которая позволяет злоумышленникам загружать вредоносные скрипты и запускать атаки.

Плагин Rank Math SEO

Rank Math — популярный плагин SEO, установленный на более чем 2 миллионах веб-сайтов. Он имеет невероятный набор функций, включая отслеживание ключевых слов, интеграцию структурированных данных Schema.org, интеграцию Google Search Console и Analytics, менеджер перенаправлений и другие функции, которые делают ненужным использование других плагинов для технического или внутреннего SEO.

Популярная функция, которую ценят пользователи, заключается в том, что это модульный плагин, который означает, что пользователи могут выбирать, какие функции им нужны, и отключать те, которые им не нужны, что может помочь сделать веб-сайт работать еще быстрее.

Многие обращаются к Rank Math как к альтернативе Yoast. А сравнение между ними видно, что Rank Math меньше (61,1 тыс. строк кода по сравнению с 97,1 тыс. строк в Yoast) и использует меньше ресурсов сервера (+0,35 МБ памяти по сравнению с +1,62 МБ в Yoast).

Межсайтовый скриптинг с аутентификацией и сохранением

Исследователи безопасности Wordfence WordPress опубликовали информацию об уязвимости в SEO-плагине Rank Math, которая может привести к сохраненной уязвимости межсайтового скриптинга (XSS).

Сохраненная уязвимость XSS позволяет злоумышленнику загружать вредоносные сценарии и атаковать браузеры, что может привести к краже файлов cookie сеанса, что обеспечивает несанкционированный доступ к веб-сайту и компрометацию конфиденциальных данных.

Недостаточная очистка ввода и экранирование вывода

Источником уязвимости является недостаточная очистка входных данных и экранирование выходных данных. Это распространенные причины XSS-уязвимостей, возникающих в областях плагинов, которые позволяют пользователям загружать или вводить данные.

Очистка входных данных аналогична фильтрации нежелательных типов ввода, таких как сценарии или HTML, где ожидается только текстовый ввод. Экранирование вывода — это процесс, который проверяет выводимые веб-сайтом данные, чтобы заблокировать попадание нежелательных выводимых данных, таких как вредоносные сценарии, в браузер веб-сайта.

Wordfence предупредил:

«Плагин Rank Math SEO с AI SEO Tools для WordPress уязвим к хранимому межсайтовому скриптингу через атрибуты блокировки HowTo во всех версиях до 1.0.214 включительно из-за недостаточной очистки ввода и экранирования вывода в атрибутах, предоставленных пользователем.

Это позволяет злоумышленникам, прошедшим проверку подлинности, с доступом на уровне участника и выше, внедрять произвольные веб-скрипты на страницы, которые будут выполняться всякий раз, когда пользователь обращается к внедренной странице».

В журнале изменений обновлений Rank Math ответственно указано, что было изменено в их плагине, и причина обновления. Эта прозрачность позволяет пользователям плагина понять важность данного обновления и принять обоснованное решение относительно срочности обновления.

В журнале изменений указана исправленная уязвимость:

«Улучшено: усилена безопасность HowTo Block плагина, чтобы предотвратить потенциальную эксплуатацию пользователями с доступом к редактированию сообщений. Благодаря [WordFence]
(за ответственное раскрытие информации)

Прочтите официальную рекомендацию Wordfence:

Ранжируйте математическое SEO с помощью AI SEO Tools <= 1.0.214 – Аутентифицированный (участник+) Сохраненный межсайтовый скриптинг через атрибуты блокировки HowTo

Рекомендованное изображение: Shutterstock/Роман Самборский