高度流行的 All in One SEO WordPress 插件中的兩個嚴(yán)重和高嚴(yán)重性安全漏洞使超過 300 萬個網(wǎng)站暴露在接管攻擊中。
Automattic 安全研究員 Marc Montpas 發(fā)現(xiàn)和報告的安全漏洞是一個嚴(yán)重的身份驗(yàn)證權(quán)限提升錯誤 (CVE-2021-25036) 和一個高嚴(yán)重性的身份驗(yàn)證 SQL 注入 (CVE-2021-25037)。
超過 800,000 個易受攻擊的 WordPress 網(wǎng)站
該插件的開發(fā)人員于?2021 年 12 月 7 日發(fā)布了一項(xiàng)安全更新,來修復(fù)這些漏洞。
但是,根據(jù)補(bǔ)丁發(fā)布后過去兩周的下載統(tǒng)計數(shù)據(jù),超過 820,000 個使用該插件的站點(diǎn)尚未更新其安裝?,并且仍然受到攻擊。?
使這些缺陷變得非常危險的是,即使成功利用這兩個漏洞需要威脅參與者進(jìn)行身份驗(yàn)證,但他們只需要訂閱者等低級權(quán)限即可在攻擊中濫用它們。
訂閱者是默認(rèn)的 WordPress 用戶角色(就像貢獻(xiàn)者、作者、編輯和管理員一樣),通常允許注冊用戶對 WordPress 網(wǎng)站上發(fā)布的文章發(fā)表評論。
盡管訂閱者除了發(fā)表評論外通常只能編輯自己的個人資料,但在這種情況下,他們可以利用 CVE-2021-25036 來提升他們的權(quán)限并在易受攻擊的站點(diǎn)上獲得遠(yuǎn)程代碼執(zhí)行權(quán),并可能完全接管他們。
| 日期 | 下載量 |
| 2021-12-07 | 336738 |
| 2021-12-08 | 1403672 |
| 2021-12-09 | 68941 |
| 2021-12-10 | 45392 |
| 2021-12-11 | 31346 |
| 2021-12-12 | 26677 |
| 2021-12-13 | 35666 |
| 2021-12-14 | 34938 |
| 2021-12-15 | 72301 |
| 2021-12-16 | 28672 |
| 2021-12-17 | 24699 |
| 2021-12-18 | 18774 |
| 2021-12-19 | 17972 |
| 2021-12-20 | 25388 |
| 總計 | 2171176 |
敦促 WordPress 管理員盡快更新
正如 Montpas 所透露的那樣,通過“將單個字符更改為大寫”來繞過所有實(shí)施的權(quán)限檢查,在運(yùn)行未打補(bǔ)丁的All in One SEO 版本的站點(diǎn)上,通過濫用 CVE-2021-25036 來提升權(quán)限是一項(xiàng)簡單的任務(wù)。
“這尤其令人擔(dān)憂,因?yàn)椴寮哪承┒它c(diǎn)非常敏感。例如,aioseo/v1/htaccess 端點(diǎn)可以用任意內(nèi)容重寫站點(diǎn)的 .htaccess,”Montpas 解釋說。
“攻擊者可能會濫用此功能來隱藏 .htaccess 后門并在服務(wù)器上執(zhí)行惡意代碼。”
建議仍在使用受這些嚴(yán)重漏洞(4.0.0 和 4.1.5.2 之間)影響的 All In One SEO 版本的 WordPress 管理員立即更新到 4.1.5.3!
使用率還是很高的,希望盡快修復(fù)。
這個老牌SEO插件,好像海外站點(diǎn)必備的!