WordPress: dobësi në plugin SEO All in One

Një nga plugin-et më të njohura të WordPress (mbi 3 milion instalime) është All in One SEO. Një studiues sigurie ka zbuluar dy dobësi serioze që lejojnë aksesin në disa të dhëna të ndjeshme dhe ekzekutimin e kodit në distancë. Problemi është rregulluar me versionin më të fundit, por mbi 800,000 sajte nuk janë përditësuar.

All in One SEO: : Instaloni versionin 4.1.5.3 tani

Dobësia e parë (CVE-2021-25036) është e pranishme në çdo version nga 4.0.0 në 4.1.5.2. Ndryshimi i një karakteri të vetëm nga shkronja të vogla në të mëdha mund të anashkalojë kontrollin e privilegjimit. Pra, një përdorues me privilegj të ulët (për shembull “Abonent”) mund të rrisë privilegjet e tij dhe të ekzekutojë kodin në distancë në sit. Kjo paraqet një rrezik serioz sepse disa pika fundore të plugin-it , si aioseo / v1 / htaccess, mund të shkruajnë përmbajtje arbitrare në skedarin .htaccess dhe kështu të modifikojnë konfigurimin e serverit.

Dobësia e dytë (CVE-2021-25037) është e pranishme në çdo version midis 4.1.3.1 dhe 4.1.5.2. Në këtë rast, një sulmues mund të kryejë një “injeksion SQL” për të marrë informacione të ndryshme të ndjeshme, duke përfshirë emrin e përdoruesit dhe fjalëkalimin, si përgjigje ndaj pyetjes.

Studiuesi Marc Montpas raportoi dy dobësitë tek zhvilluesi i All in One SEO. Të dyja janë rregulluar në versionin 4.1.5.3 të plugin.Pavarësisht se është lëshuar për rreth dy javë, ka ende mbi 800,000 site të cenueshme. Aktualisht nuk dihet nëse ka shfrytëzime aktive në qarkullim, por rreziku është shumë i lartë duke pasur parasysh popullaritetin e plugin-it.