这个WordPress SEO插件可能会使您的网站容易受到攻击

发布时间: 2020-09-16 18:21:53 来源:

Wordfence的威胁情报团队发现了一个WordPress插件中的漏洞,该插件安装在超过200万个名为All In One SEO Pack的网站上。

如果被利用,则该漏洞可能允许具有贡献者级别或更高权限的经过身份验证的用户注入恶意脚本,这些恶意脚本在受害者访问wp-admin面板的“所有帖子”页面时执行。

发现此中等严重性安全问题后,Wordfence与插件团队联系,All In One SEO Pack仅在几天后就收到了修复该问题的补丁。

SEO Pack中的所有功能都是一个WordPress插件,它提供了几种SEO功能,以帮助网站的内容在Google和其他搜索引擎上的排名更高。

作为该插件功能的一部分,它使用户能够创建或编辑帖子,从而可以在工作时直接从帖子中设置SEO标题和描述。所有具有创建帖子功能的用户(例如贡献者,作者和编辑)都可以使用此功能。

不幸的是,在对该插件进行修补之前,帖子的SEO元数据(包括SEO标题和SEO描述字段)没有输入清理。这样一来,较低级别的用户(例如贡献者和作者)就可以将HTML和恶意JavaScript代码注入这些字段中。由于每个帖子的SEO标题和SEO描述都显示在“所有帖子”页面上,因此添加到这些字段的任何值也将以未经过滤的格式显示在此处,这将导致每次用户访问了此页面。

在3.6.2版All in One SEO Pack中,该插件的开发人员为所有SEO post元值添加了清理功能,因此注入其中的任何代码都将无法成为可执行脚本。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。
Top