这 多合一搜索引擎优化 插件修补了一组严重的漏洞 由 Jetpack Scan 团队发现 两周前。 12 月 8 日发布的 4.1.5.3 版修复了 SQL 注入漏洞和权限提升错误。
发现这些漏洞的研究人员 Marc Montpas 解释了如何利用这些漏洞:
如果被利用,SQL 注入漏洞可能允许攻击者访问受影响站点数据库中的特权信息(例如,用户名和散列密码)。
我们发现的权限提升错误可能会授予不良行为者访问他们不应该访问的受保护 REST API 端点的权限。 这最终可以使具有低权限帐户的用户(例如订阅者)能够在受影响的站点上执行远程代码。
通用漏洞评分系统 (CVSS) 给出了漏洞 高的 和 危急 可利用性得分。
Montpas 解释说,All In One SEO 未能保护插件的 REST API 端点,允许具有低权限帐户的用户(例如订阅者)绕过权限检查并获得对插件注册的每个端点的访问权限。 这包括一个特别敏感的 htaccess 端点,它能够用任意内容重写站点的 .htaccess 文件。 Montpas 说攻击者可以滥用此功能来隐藏 .htaccess 后门 并在服务器上执行恶意代码。
多合一搜索引擎优化在超过 300 万个 WordPress 网站上活跃,4.0.0 和 4.1.5.2 之间的插件的每个版本都受到影响和易受攻击。 自六天前发布以来,为次要版本启用了自动更新的用户应该已经拥有该补丁。 对于手动更新的用户,Jetpack Scan 团队建议受影响范围内的用户尽快更新到最新版本。