آسیب پذیری در یک بسته جستجوگر SEO – بهره برداری جدید

آسیب پذیری جدیدی در All in One SEO Pack کشف شد. این آسیب پذیری تازه کشف شده می تواند به مهاجمان اجازه دهد با استفاده از آسیب پذیری اسکریپت سایت متقاطع ، کنترل کامل وب سایت را در دست بگیرند.

آسیب پذیری خط نویسی سایت صلیب

به این نوع آسیب پذیری آسیب پذیری اسکریپت سایت متقاطع (XSS) گفته می شود.

این به طور کلی می تواند یک رابط ورودی به خطر بیافتد. بنابراین در هر جایی که کاربر بتواند محتوا ، تصاویر یا اسکریپت ها را وارد و بارگذاری کند ، باید “ضد عفونی” شود تا از بارگیری اسکریپت های مخرب جلوگیری شود.

بنابراین ، نقاط ورودی معمولی می توانند نظر و فرم باشند. اما این نوع از آسیب پذیری ها همچنین می تواند مناطقی از سایت را که از طرف کاربران غیر ثبت شده دیوار وجود دارد ، تحت تأثیر قرار دهد.

این آسیب پذیری که بر همه در یک SEO SEO تأثیر می گذارد ، بر مناطقی از سایت تأثیر می گذارد که نیاز به یک کاربر برای ارسال امتیاز دارد.

مقاله پیشنهادی  در حال حاضر Google در نمایه سازی مشکلات را تجربه می کند

به همین دلیل ، این یک آسیب پذیری در سطح متوسط ​​است.

آیا همه در یک بسته SEO آسیب پذیر است؟

بله ، همه در یک بسته جستجوگرها (نسخه های 3.6.1 و پایین تر) در برابر یک بهره برداری XSS آسیب پذیر هستند. این بهره برداری خاص روی ناحیه ورودی تأثیر نمی گذارد.

قسمت آسیب دیده عنوان های SEO و توضیحات SEO است که در آن کاربر وارد شده با امتیازات ارسال می تواند اسکریپت های مخرب را بارگیری کند تا به دسترسی اداری ، تصاحب سایت یا آلوده کردن بازدید کنندگان سایت بپردازد.

به همان اندازه که به نظر می رسد بد است ، این یک آسیب پذیری شدت متوسط ​​است زیرا به هکر نیاز دارد تا به اعتبار ورود به سیستم کاربر ثبت نام شده با امتیازات ارسال دسترسی داشته باشد.

به منظور تحقق این امر که هکر ممکن است برای سرقت مدارک معتبر یا استفاده از آسیب پذیری در افزونه یا موضوع دیگر ، از ترفندهای مهندسی اجتماعی استفاده کند.

با توجه به WordFence ، اینگونه آسیب پذیری می تواند ویران شود:

وی گفت: “به دلیل اجرای JavaScript هر زمان که کاربر به صفحه” همه پست ها “دسترسی پیدا کند ، این آسیب پذیری یک هدف اصلی برای مهاجمین است که قادر به دستیابی به یک حساب کاربری هستند که به آنها امکان ارسال محتوا را می دهد.

از آنجا که مشارکت کنندگان باید تمام ارسال ها را برای بررسی توسط یک سرپرست یا ویرایشگر ارسال کنند ، یک مشارکت مخرب می تواند اطمینان داشته باشد که یک کاربر ممتاز بالاتر برای بررسی هر پست معلق به منطقه “همه پستها” دسترسی پیدا می کند.

اگر جاوا اسکریپت مخرب در مرورگر یک سرپرست اجرا شد ، می توان از آن برای تزریق درپشتی یا اضافه کردن کاربران جدید اداری و به دست گرفتن یک سایت استفاده کرد. “

تبلیغات

ادامه خواندن زیر

چگونه آسیب پذیری کشف شد

محققان امنیتی WordFence در 10 ژوئیه سال 2020 آسیب پذیری را در All در One SEO Pack کشف کردند و بلافاصله به ناشران این افزونه اطلاع دادند.

مقاله پیشنهادی  LinkedIn ‘Digital Marketer’ به عنوان شغل برتر تقاضا

ناشران برای به روز کردن آسیب پذیری کار می کنند و وصیت نامه ای را در 15 ژوئیه 2020 ، پنج روز بعد منتشر کردند.

کاربران پریمیوم افزونه امنیتی WordFence در همان روز کشف این آسیب پذیری ، در تاریخ 10 ژوئیه 2020 ، یک فایروال قانون را دریافت کردند.

مقاله پیشنهادی  اخبار بینگ PubHub و اخبار بازاریابی دیجیتال این هفته [PODCAST]

به روزرسانی All in One SEO Pack به طور صحیح در تغییرات آنها ذکر شده است:

“بهبود بازده زمینه های متا جستجوگرها + اضافه کردن ضد عفونی اضافی برای سخت شدن امنیت”

تصویر صفحه همه در یک تغییر بسته جستجوگرها

تصویر صفحه همه در یک بسته SEO SEO تغییر

همه را در یک بسته SEO به 3.6.2 به روز کنید

هرکسی که از All in One SEO Pack استفاده می کند ، می خواهد سریعاً افزونه خود را به نسخه 3.6.2 بروزرسانی کند. اگرچه این به عنوان یک آسیب پذیری با شدت متوسط ​​شناخته می شود ، اما هنوز هم پچ کردن پلاگین به منظور ایمن بودن آن محتاط است.

تبلیغات

ادامه خواندن زیر

استناد

اعلامیه رسمی WordFence را بخوانید

2 میلیون کاربر تحت تأثیر آسیب پذیری همه در یک بسته SEO