2020年7月10日,Wordfence的威脅情報(bào)團(tuán)隊(duì)在All In One SEO Pack插件中發(fā)現(xiàn)了這一個(gè)漏洞。此漏洞使具有貢獻(xiàn)者級(jí)別訪問權(quán)限或更高權(quán)限的經(jīng)過身份驗(yàn)證的用戶能夠注入惡意腳本,如果受害者訪問wp-admin面板的“所有文章”頁面,該惡意腳本將被執(zhí)行。
All In One SEO Pack 是一個(gè)WordPress SEO插件,安裝量超過200萬。它提供了幾個(gè)SEO增強(qiáng)功能,可幫助在搜索引擎上將WordPress網(wǎng)站的內(nèi)容排名更高。
作為其功能的一部分,它允許具有創(chuàng)建或編輯文章功能的用戶在編輯文章時(shí)直接從文章中設(shè)置SEO標(biāo)題和SEO描述。這使文章建者在編寫時(shí)更容易改善文章的SEO。所有可以創(chuàng)建文章的用戶(例如貢獻(xiàn)者、作者和編輯)都可以使用此功能。
不幸的是,文章的SEO元數(shù)據(jù),包括SEO標(biāo)題和SEO描述字段,都沒有進(jìn)行字段清理,從而使較低級(jí)別的用戶(例如貢獻(xiàn)者和作者)能夠?qū)TML和惡意JavaScript注入這些字段。
由于每當(dāng)用戶訪問“所有文章”頁面時(shí)都會(huì)執(zhí)行JavaScript,因此該漏洞將成為攻擊者的主要目標(biāo),攻擊者能夠訪問允許他們發(fā)布內(nèi)容的帳戶。由于貢獻(xiàn)者必須提交所有文章以供管理員或編輯審閱,因此惡意的貢獻(xiàn)者可以確信特權(quán)更高的用戶將訪問“所有文章”區(qū)域以審閱任何待處理的文章。如果惡意JavaScript是在管理員的瀏覽器中執(zhí)行的,則可以用來注入后門或添加新的管理用戶并接管站點(diǎn)。
與所有XSS漏洞一樣,這被認(rèn)為是中等嚴(yán)重性的安全問題,它可能導(dǎo)致完整的站點(diǎn)接管和其他嚴(yán)重后果。強(qiáng)烈建議立即將其更新為最新版本,在撰寫本文時(shí),即All In One SEO Pack 3.6.2版本。
參考自:Wordfence
