Narodowa baza danych o lukach w zabezpieczeniach Stanów Zjednoczonych opublikowała poradę dotyczącą dwóch luk wykrytych we wtyczce All In One SEO WordPress.

Wtyczka All In One SEO (AIOSEO), która ma ponad trzy miliony aktywnych instalacji, jest podatna na dwa ataki Cross-site scripting (XSS).

Luki dotyczą wszystkich wersji AIOSEO do wersji 4.2.9 włącznie.

Przechowywane skrypty między witrynami

Ataki typu cross-site scripting (XSS) to forma exploita polegającego na wstrzykiwaniu złośliwych skryptów wykonywanych w przeglądarce użytkownika, co może następnie prowadzić do dostępu do plików cookie, sesji użytkownika, a nawet przejęcia witryny.

Dwie najczęstsze formy ataków typu Cross-Site Scripting to:

• Odzwierciedlające skrypty międzywitrynowe
• Przechowywane skrypty między witrynami

Odbity XSS polega na wysłaniu skryptu do użytkownika, który go kliknie, który trafia do podatnej strony, która następnie „odbija” atak z powrotem na użytkownika.

Przechowywany XSS ma miejsce, gdy złośliwy skrypt znajduje się w samej podatnej witrynie.

Hakerzy wykorzystują każdą formę wprowadzania danych do witryny, taką jak formularz kontaktowy, formularz przesyłania obrazu, każdy obszar, w którym ktoś może przesłać lub przesłać zgłoszenie.

Luka powstaje, gdy nie ma wystarczających kontroli bezpieczeństwa, aby zablokować niechciane dane wejściowe.

Dwa problemy wpływające na wtyczkę AIOSEO to luki w zabezpieczeniach Stored Cross-Site Scripting.

CVE-2023-0585

Luki w zabezpieczeniach mają przypisane numery, aby je śledzić. Przypisano pierwszy, CVE-2023-0585.

Ta luka w zabezpieczeniach wynika z niepowodzenia oczyszczania danych wejściowych. Oznacza to, że filtrowanie jest niewystarczające, aby uniemożliwić hakerowi załadowanie złośliwego skryptu.

Notatka National Vulnerability Database (NVD) opisuje to w następujący sposób:

„Wtyczka All in One SEO Pack dla WordPress jest podatna na skrypty Stored Cross-Site za pośrednictwem wielu parametrów w wersjach do 4.2.9 włącznie z powodu niewystarczającej sanityzacji danych wejściowych i ucieczki danych wyjściowych.

Dzięki temu uwierzytelnieni atakujący z rolą administratora lub wyższą mogą wstrzykiwać dowolne skrypty internetowe na strony, które będą uruchamiane za każdym razem, gdy użytkownik uzyska dostęp do wstrzykniętej strony”.

Luce przypisano poziom zagrożenia 4,4 (na dziesięć), co oznacza średni poziom.

Osoba atakująca musi najpierw uzyskać uprawnienia administratora lub wyższe, aby przeprowadzić ten atak.

CVE-2023-0586

Ten atak jest podobny do pierwszego. Główna różnica polega na tym, że osoba atakująca musi przyjąć co najmniej uprawnienia dostępu do witryny na poziomie współautora.

Rola na poziomie współautora umożliwia tworzenie zawartości, ale nie jej publikowanie.

Luka jest również zagrożeniem na średnim poziomie, ale ma wyższą ocenę podatności na 6,4.

to jest opis:

„Wtyczka All in One SEO Pack dla WordPress jest podatna na skrypty Stored Cross-Site za pośrednictwem wielu parametrów w wersjach do 4.2.9 włącznie z powodu niewystarczającej sanityzacji danych wejściowych i ucieczki danych wyjściowych.

Dzięki temu uwierzytelnieni atakujący z rolą Contributor+ mogą wstrzykiwać dowolne skrypty internetowe na strony, które będą wykonywane za każdym razem, gdy użytkownik uzyska dostęp do wstrzykniętej strony”.

Rekomendowane działanie

Pierwsza luka wymaga uprawnień na poziomie administratora i ma stosunkowo niski średni poziom zagrożenia 4,4.

Ale druga luka wymaga jedynie niższego poziomu uprawnień i jest oceniana wyżej na poziomie 6,4.

Zasadniczo dobrą zasadą jest aktualizowanie wszystkich podatnych na ataki wtyczek. Wtyczka AIOSEO w wersji 4.3.0 zawiera poprawkę bezpieczeństwa, o której mowa w oficjalnym dzienniku zmian AIOSEO jako dodatkowe „wzmocnienie bezpieczeństwa”.

Przeczytaj szczegółowe informacje o dwóch lukach w zabezpieczeniach:

CVE-2023-0585

CVE-2023-0586

Wyróżniony obraz autorstwa Shutterstock/Bangun Stock Productions