這 多合一搜索引擎優化 插件修補了一組嚴重的漏洞 由 Jetpack Scan 團隊發現 兩周前。 12 月 8 日發布的 4.1.5.3 版修復了 SQL 注入漏洞和許可權提升錯誤。
發現這些漏洞的研究人員 Marc Montpas 解釋了如何利用這些漏洞:
如果被利用,SQL 注入漏洞可能允許攻擊者訪問受影響站點資料庫中的特權信息(例如,用戶名和散列密碼)。
我們發現的許可權提升錯誤可能會授予不良行為者訪問他們不應該訪問的受保護 REST API 端點的許可權。 這最終可以使具有低許可權帳戶的用戶(例如訂閱者)能夠在受影響的站點上執行遠程代碼。
通用漏洞評分系統 (CVSS) 給出了漏洞 高的 和 危急 可利用性得分。
Montpas 解釋說,All In One SEO 未能保護插件的 REST API 端點,允許具有低許可權帳戶的用戶(例如訂閱者)繞過許可權檢查並獲得對插件註冊的每個端點的訪問許可權。 這包括一個特別敏感的 htaccess 端點,它能夠用任意內容重寫站點的 .htaccess 文件。 Montpas 說攻擊者可以濫用此功能來隱藏 .htaccess 後門 並在伺服器上執行惡意代碼。
多合一搜索引擎優化在超過 300 萬個 WordPress 網站上活躍,4.0.0 和 4.1.5.2 之間的插件的每個版本都受到影響和易受攻擊。 自六天前發布以來,為次要版本啟用了自動更新的用戶應該已經擁有該補丁。 對於手動更新的用戶,Jetpack Scan 團隊建議受影響範圍內的用戶儘快更新到最新版本。