Wordfence опубликовал подробности о двух сохраненных XSS-уязвимостях, которые компания ответственно сообщила разработчикам плагина All In One SEO в январе 2023 года. Уязвимости потенциально затронули более 3 миллионов пользователей в версиях 4.2.9 и более ранних.
Одна уязвимость, получившая оценку CVSS 6,4 (средний), Wordfence приписывает недостаточной очистке ввода и экранированию вывода. Исследователи обнаружили, что это «позволяет аутентифицированным злоумышленникам с доступом на уровне Contributor или выше внедрять произвольные веб-скрипты на страницы, которые будут выполняться всякий раз, когда пользователь обращается к внедряемой странице».
Вторая уязвимость получила оценку 4,4 (средний) по шкале CVSS и требует от аутентифицированного злоумышленника наличия привилегий уровня администратора. Wordfence описал, как злоумышленники могут использовать эти уязвимости:
К сожалению, уязвимые версии этого плагина не могут избежать отправленных заголовков сайтов, метаописаний и других элементов во время создания сообщений и страниц, а также при изменении настроек плагина. Это дало возможность пользователям с доступом к редактору сообщений, таким как участники, вставлять вредоносный JavaScript в эти поля, которые выполнялись бы в браузере любого аутентифицированного пользователя, например администратора сайта, редактирующего такое сообщение или страницу.
Это вероятный сценарий, поскольку сообщения, написанные участниками, должны быть проверены и модерированы перед публикацией.
All In One SEO исправила обе уязвимости в версии 4.3.0, но на данный момент только 25,5% из 3+ миллионов пользователей плагинов обновились до последней версии, оставив примерно 3/4 пользователей плагина уязвимыми.
Журнал изменений плагина для версии 4.3.0 содержит краткое расплывчатое примечание о включенном исправлении безопасности: «Обновлено: дополнительное усиление безопасности». После исправления уязвимостей в версии 4.3.0 было выпущено еще два выпуска плагина.
