Плагин All In One для SEO исправляет серьезные уязвимости

All In One SEO плагин исправлен набор серьезных уязвимостей, обнаруженных командой Jetpack Scan две недели назад. Версия 4.1.5.3, выпущенная 8 декабря, включает исправления для уязвимости SQL-инъекции и ошибки повышения привилегий.

Марк Монпас, исследователь, обнаруживший уязвимости, объяснил, как они могут быть использованы:

В случае эксплуатации уязвимость SQL Injection может предоставить злоумышленникам доступ к конфиденциальной информации из базы данных уязвимого сайта (например, к именам пользователей и хешированным паролям).

Обнаруженная нами ошибка повышения привилегий может предоставить злоумышленникам доступ к защищенным конечным точкам REST API, к которым у них не должно быть доступа. В конечном итоге это может позволить пользователям с учетными записями с низким уровнем привилегий, например подписчикам, выполнять удаленное выполнение кода на затронутых сайтах.

Общая система оценки уязвимостей (CVSS) присвоила уязвимостям высокий и критический балл за возможность их использования.

Montpas объяснил, что All In One SEO не удалось защитить конечные точки REST API плагина, что позволило пользователям с низкими привилегиями (например, подписчиками) обойти проверки привилегий и получить доступ к каждой конечной точке, которую регистрирует плагин. Сюда входит особо уязвимая htaccess конечная точка, которая способна переписывать файл .htaccess сайта произвольным содержимым. Montpas заявил, что злоумышленник может использовать эту функцию, чтобы скрыть бэкдоры .htaccess и выполнить вредоносный код на сервере.

All in One SEO активен на более чем 3 миллионах сайтов WordPress, и каждая версия плагина от 4.0.0 до 4.1.5.2 подвержена уязвимости. Пользователи с включенными автоматическими обновлениями для второстепенных выпусков уже должны иметь исправление с момента его выпуска шесть дней назад. Тем, кто выполняет обновление вручную, группа Jetpack Scan рекомендует пользователям в затронутом диапазоне как можно скорее обновить до последней версии.