Владельцы сайтов на системе управления контентом WordPress с популярным плагином All in One SEO Pack должны как можно скорее установить обновление. Выпущенная в пятницу версия плагина закрывает уязвимость, способную давать доступ к учётным записям администраторов сайтов. Плагин предлагает оптимизации, призванные увеличить видимость сайта в поисковых системах. Статистика говорит о более чем миллионе активных установок All in One SEO Pack.
Уязвимость находится в функции Bot Blocker и может быть задействована дистанционно отправкой запроса HTTP со специально подобранными заголовками. Функция Bot Blocker обнаруживает и блокирует спам-ботов на основе значений заголовков user agent и referer, о чём рассказал нашедший уязвимость исследователь Давид Ваарджес.
Если активна настройка Track Blocked Bots (по умолчанию отключена), плагин записывает все заблокированные запросы и отображает их на странице HTML в панели администратора сайта. Поскольку плагин не может надлежащим образом обработать запросы перед их отображением, хакеры получают возможность внедрить вредоносный код на JavaScript в заголовки запросов, который станет частью страницы HTML.
Это открывает доступ атакам межсайтового скриптинга, когда код может выполняться при каждом просмотре этой страницы. Так как речь идёт об администраторах, злоумышленники могут украсть метки (session tokens). Эти метки представляют собой хранящиеся внутри браузера значения, которые позволяют сайту узнавать зашедшего в учётную запись пользователя. Поместив эти метки в свои браузеры, атакующие могут зайти на сайт под видом его администратора.
Компания Semper Fi Web Design выпустила версию All in One SEO Pack 2.3.7, где уязвимость закрыта.