События

Уязвимость в популярном плагине для WordPress поставила под угрозу свыше миллиона сайтов

Уязвимость в популярном плагине для WordPress поставила под угрозу свыше миллиона сайтов

Независимый исследователь Давид Ваартъес (David Vaartjes) сообщил об опасной уязвимости в популярном плагине All In One SEO Pack, предназначенном для SEO-оптимизации сайта на движке WordPress. Проблема позволяет неавторизованному пользователю перехватить учетную запись администратора уязвимого ресурса.

Ошибка существует в модуле Bad Bot Blocker, служащем для защиты сайта от ботов и спама. Уязвимость может быть проэксплуатирована удаленно путем отправки специально сформированных HTTP-запросов.

Функция Bad Bot Blocker предназначена для блокировки ботов и спама на основании значений User-Agent и Referer. При активированной опции «Отслеживать заблокированные боты» (Track Blocked Bots) плагин будет отслеживать запросы заблокированных ботов и отображать их на странице на панели администратора. В связи с тем, что плагин не корректно проводит санитизацию запросов, злоумышленник может внедрить вредоносный код JavaScript в заголовок запроса. Таким образом преступник может осуществить XSS-атаку, похитить токены сессий и получить доступ к панели администратора без аутентификации.

Разработчик All In One SEO Pack компания Semper Fi Web Design уже выпустила новую исправленную версию 2.3.7. Эксперты рекомендуют всем пользователям как можно быстрее обновить текущие версии плагина.

Автор: Сергей Куприянов
12.07.2016 (13:17)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome
Пишите нам

Редакция: info@alterprogs.ru

Реклама: adv@alterprogs.ru

Все права защищены © 2010-2019

"Alterprogs.ru" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.ru. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.