荐爱小站因为 wordpress程序很多时候都需要插件来添加一些功能,所以 wordpress插件的安全也直接影响wordpress网站本身的安全性。那么我们也就需要时刻关注WP插件的安全问题了,看看有没有自己正在使用的。
近日,Wordfence的威胁情报团队在All In One SEO Pack插件中发现了这一个安全漏洞。此安全漏洞使具有贡献者级别访问权限或更高权限的经过身份验证的用户能够注入恶意脚本,如果受害者访问 wp-admin面板的“所有文章”页面,该恶意脚本将被执行。
All In One SEO Pack 是一个 WordPress SEO插件,安装量超过200万。它提供了几个 SEO增强功能,可帮助在搜索引擎上将 WordPress网站的内容排名更高。
作为其功能的一部分,它允许具有创建或编辑文章功能的用户在编辑文章时直接从文章中设置 SEO标题和 SEO描述。这使文章建者在编写时更容易改善文章的SEO。所有可以创建文章的用户(例如贡献者、作者和编辑)都可以使用此功能。
不过问题是,文章的SEO元数据,包括 SEO标题和 SEO描述字段都没有进行字段处理,从而使较低级别的用户(例如贡献者和作者)能够将 HTML和恶意 JavaScript注入这些字段。
由于每当用户访问“所有文章”页面时都会执行 JavaScript,因此该漏洞将成为攻击者的主要目标,攻击者能够访问允许他们发布内容的帐户。由于贡献者必须提交所有文章以供管理员或编辑审阅,因此恶意的贡献者可以确信特权更高的用户将访问“所有文章”区域以审阅任何待处理的文章。如果恶意 JavaScript是在管理员的浏览器中执行的,则可以用来注入后门或添加新的管理用户并接管站点。
其与所有 XSS安全漏洞一样,这被认为是中等严重性的安全问题,它可能导致完整的站点接管和其他严重后果。强烈建议正在使用此插件的用户立即将其更新为最新版本,在撰写本文时,最新版本为 All In One SEO Pack 3.6.2版本。
看来使用 wordpress建站的朋友需要一直把 wordpress安全问题放在首要位置上,插件安全也不容忽视,不然等到自己的网站出现安全问题就比较麻烦了。
转载请注明链接地址:荐爱小站 » 发现 wordpress插件 All In One SEO Pack 存在XSS漏洞
多功能 WordPress 图片水印插件:image-watermark(汉化版)
彩色短代码功能在 WordPress 上非插件的实现方法
我的 WordPress 固定链接设置优化的方法记录
