當(dāng)前位置:首頁>WordPress資訊>All in One SEO 高危漏洞,4.0.0 至 4.1.5.2 版本請立即更新

All in One SEO 高危漏洞,4.0.0 至 4.1.5.2 版本請立即更新

高度流行的 All in One SEO WordPress 插件中的兩個嚴(yán)重和高嚴(yán)重性安全漏洞使超過 300 萬個網(wǎng)站暴露在接管攻擊中。

Automattic 安全研究員 Marc Montpas 發(fā)現(xiàn)和報告的安全漏洞是一個嚴(yán)重的身份驗(yàn)證權(quán)限提升錯誤 (CVE-2021-25036) 和一個高嚴(yán)重性的身份驗(yàn)證 SQL 注入 (CVE-2021-25037)。

超過 800,000 個易受攻擊的 WordPress 網(wǎng)站

該插件的開發(fā)人員于?2021 年 12 月 7 日發(fā)布了一項(xiàng)安全更新,來修復(fù)這些漏洞。

但是,根據(jù)補(bǔ)丁發(fā)布后過去兩周的下載統(tǒng)計數(shù)據(jù),超過 820,000 個使用該插件的站點(diǎn)尚未更新其安裝?,并且仍然受到攻擊。?

使這些缺陷變得非常危險的是,即使成功利用這兩個漏洞需要威脅參與者進(jìn)行身份驗(yàn)證,但他們只需要訂閱者等低級權(quán)限即可在攻擊中濫用它們。

訂閱者是默認(rèn)的 WordPress 用戶角色(就像貢獻(xiàn)者、作者、編輯和管理員一樣),通常允許注冊用戶對 WordPress 網(wǎng)站上發(fā)布的文章發(fā)表評論。

盡管訂閱者除了發(fā)表評論外通常只能編輯自己的個人資料,但在這種情況下,他們可以利用 CVE-2021-25036 來提升他們的權(quán)限并在易受攻擊的站點(diǎn)上獲得遠(yuǎn)程代碼執(zhí)行權(quán),并可能完全接管他們。

日期下載量
2021-12-07336738
2021-12-081403672
2021-12-0968941
2021-12-1045392
2021-12-1131346
2021-12-1226677
2021-12-1335666
2021-12-1434938
2021-12-1572301
2021-12-1628672
2021-12-1724699
2021-12-1818774
2021-12-1917972
2021-12-2025388
總計2171176

敦促 WordPress 管理員盡快更新

正如 Montpas 所透露的那樣,通過“將單個字符更改為大寫”來繞過所有實(shí)施的權(quán)限檢查,在運(yùn)行未打補(bǔ)丁的All in One SEO 版本的站點(diǎn)上,通過濫用 CVE-2021-25036 來提升權(quán)限是一項(xiàng)簡單的任務(wù)。

“這尤其令人擔(dān)憂,因?yàn)椴寮哪承┒它c(diǎn)非常敏感。例如,aioseo/v1/htaccess 端點(diǎn)可以用任意內(nèi)容重寫站點(diǎn)的 .htaccess,”Montpas 解釋說。

“攻擊者可能會濫用此功能來隱藏 .htaccess 后門并在服務(wù)器上執(zhí)行惡意代碼。”

建議仍在使用受這些嚴(yán)重漏洞(4.0.0 和 4.1.5.2 之間)影響的 All In One SEO 版本的 WordPress 管理員立即更新到 4.1.5.3!

聲明:本站所有文章,如無特殊說明或標(biāo)注,均為本站原創(chuàng)發(fā)布。任何個人或組織,在未征得本站同意時,禁止復(fù)制、盜用、采集、發(fā)布本站內(nèi)容到任何網(wǎng)站、書籍等各類媒體平臺。如若本站內(nèi)容侵犯了原著者的合法權(quán)益,可聯(lián)系我們進(jìn)行處理。

給TA打賞
共{{data.count}}人
人已打賞
歡迎關(guān)注WordPress大學(xué)公眾號 WPDAXUE
WordPress資訊

Gutenberg 12.2 專注于改進(jìn)用戶體驗(yàn)

2021-12-21 23:11:00

WordPress資訊

WordPress 5.9 增強(qiáng)了內(nèi)置的延遲加載性能

2021-12-30 9:37:54

2 條回復(fù) A文章作者 M管理員
  1. 使用率還是很高的,希望盡快修復(fù)。

  2. 這個老牌SEO插件,好像海外站點(diǎn)必備的!

?
個人中心
購物車
優(yōu)惠劵
今日簽到
有新私信 私信列表
搜索

东兴市| 内江市| 临城县| 五峰| 鄄城县| 突泉县| 昆明市| 旺苍县| 涞源县| 鸡东县| 怀宁县| 邵阳市| 郧西县| 靖宇县| 紫阳县| 阿拉尔市| 长丰县| 宁强县| 仪陇县| 方山县| 任丘市| 文山县| 汝南县| 丰台区| 成都市| 阜康市| 昭觉县| 安陆市| 永昌县| 桓仁| 潞城市| 邢台县| 济阳县| 策勒县| 洪江市| 南川市| 桂林市| 大悟县| 陆丰市| 鱼台县| 铜鼓县|