SEO技术教程学习
重庆网站优化、网站排名服务

All in One SEO Pack新漏洞,可用跨站点脚本攻击入侵网站

在All in One SEO Pack中发现了一个新漏洞。新发现的漏洞使攻击者可以使用跨站点脚本攻击来完全控制网站。

跨站点脚本漏洞

研究人员发现了一种称为跨站点脚本漏洞(XSS)的问题。

它通常可能涉及受损的输入接口。因此,用户可以在任何可以输入和上传内容的地方对图像或脚本进行“清理”,以防止恶意脚本被上传。

典型的入口点可以是注释和表格。但是,这些类型的攻击也可能影响未注册用户无法访问的网站区域。

影响“All in One SEO Pack”的漏洞会影响需要用户具有发布特权的网站区域。

因此,它被描述为中级漏洞。

All in One SEO Pack有漏洞吗?

是的,All in One SEO Pack(版本3.6.1及更低版本)容易受到XSS攻击。

此特定漏洞利用会影响未消毒的输入区域。

受影响的区域是SEO标题和SEO描述字段,具有发布特权的登录用户可以在其中上传恶意脚本,以获取管理访问权限,接管网站或感染网站访问者。

听起来很糟糕,这是一个中等级别的漏洞,因为它要求黑客以发布权限访问注册用户的登录凭据。

为了实现这一目标,黑客可能需要使用社交工程技巧来窃取凭据或利用另一个插件或主题中的漏洞。

All in One SEO Pack新漏洞

All in One SEO Pack新漏洞

根据WordFence的说法,此漏洞可能造成严重破坏:

“由于每当用户访问“所有帖子”页面时都会执行JavaScript,因此该漏洞将成为攻击者的主要目标,攻击者能够访问允许他们发布内容的帐户。

由于贡献者必须提交所有帖子以供管理员或编辑审阅,因此恶意的贡献者可以确信特权更高的用户将访问“所有帖子”区域以审阅任何待处理的帖子。

如果恶意JavaScript是在管理员的浏览器中执行的,则可以用来注入后门或添加新的管理用户并接管站点。”

如何发现漏洞

WordFence的安全研究人员于2020年7月10日在All in One SEO Pack中发现了该漏洞,并立即将该插件通知发行商。

发布者着手更新漏洞,并在五天后的2020年7月15日发布了补丁。

WordFence安全插件的高级用户在发现漏洞的同一天(2020年7月10日)收到了防火墙规则更新。

在他们的变更日志中正确引用了“ 一站式 SEO包中的所有组件”的更新:

“改善了SEO元字段的输出,并增加了额外的清理措施以加强安全性”

All in One SEO Pack更改日志的屏幕快照

将All in One SEO Pack中的全部更新到3.6.2

鼓励所有使用All in One SEO Pack的人立即将其插件更新到版本3.6.2。尽管此漏洞被评为中等严重性漏洞,但仍应谨慎修补该插件,以确保安全。

本文链接: http://www.xusseo.com/lajifenlei/10100.html

版权声明:本文著作权归原作者徐三seo所有,转载请注明出处,感谢!

评论 抢沙发

评论前必须登录!

 

重庆SEO培训徐三为您提供最专业的SEO方案

SEO十万个为什么熊掌号专题

友情链接


#