一个名叫All in One SEO的十分时髦的WordPress SEO提升软件带有一对安全性漏洞,当这种漏洞电容量一个漏洞链开展利用时,很有可能会使网址遭遇着被接手的风险性。有超出300万只网址在应用该软件。
据Sucuri的研究工作人员称,这些有着网址账户的网络攻击如定阅者、买东西账户持有者或vip会员可以利用这种漏洞,这些漏洞包含一个管理权限提高漏洞和一个SQL引入漏洞。
研究工作人员在周三的一篇贴子上说,WordPress网站会默认设置容许网上上的一切客户建立一个账户,在默认设置状况下,新账户除开可以写评价外没有特权。殊不知,因为一些漏洞的发生,如刚发觉的漏洞,则容许这种定阅客户具有比她们原本定方案多很多的特权。
Sucuri表明,这对漏洞早已很成熟了,非常容易被利用,因此客户应当更新到已修复漏洞的版本,即4.1.5.3版。一般以为是Automattic的安全性研究员Marc Montpas发觉了这种漏洞。
特权提高和SQL引入漏洞
在这里2个漏洞中更为严重的是特权提高漏洞,它直接影响到All in One SEO的4.0.0和4.1.5.2版本。在CVSS漏洞比较严重水平表里,它的明显水平为9.9(100分10分),因为它非常容易被不法分子开展利用,并且可以用于在网络服务器上创建一个侧门。
Sucuri的研究工作人员表述说,该漏洞可以简易地将要求中的一个单标识符改成英文大写字母而开展利用。
从其本质上讲,该软件可以向各种各样REST API节点推送指令,并开展管理权限查验,保证沒有人们在做滥用权力的事儿。殊不知,REST API路由器是大小写字母比较敏感的,因此网络攻击只要更改一个字符的大小写字母就可以绕开验证查验。
Sucuri研究工作人员说:"当漏洞被利用时,这一漏洞就可以对WordPress文件构造中的一些文档开展遮盖,进而容许一切网络攻击来对侧门开展浏览。进而容许网络攻击接手网址,并可以将账户的管理权限提高为管理人员。"
第二个漏洞的严重后果CVSS得分为7.7,危害All in One SEO的4.1.3.1和4.1.5.2版本。
从总体上,漏洞发生在一个名叫"/wp-json/aioseo/v1/objects "的API节点。Sucuri表明,假如网络攻击利用以前的漏洞将它们的管理权限提高到管理人员等级,她们将得到浏览该节点的管理权限,并从那边向后面数据库查询推送故意的SQL指令,查找客户凭据、信息管理和别的隐秘数据。
研究工作人员说,为保证安全,All in One SEO的消费者应当将手机软件立即升级到已打了补丁包的版本。别的保护性对策还包含:
1、核查系统软件中的系统管理员客户并删掉一切异常的客户。
2、变更全部管理人员账户的登陆密码,及其在管理人员控制面板上加上附加的固定对策。
软件变成了网络黑客的进攻总体目标
研究工作人员强调,WordPress的软件如今依然是互联网网络攻击毁坏站点的一个主要的方式。例如,12月稍早,在对于160多万个WordPress网站的主动进攻中,研究工作人员看到有数百万次试着利用四个不一样的软件和好多个Epsilon架构主题风格的进攻。
研究工作人员说:"WordPress软件依然是全部网络技术应用的一个关键风险性,他们依然是网络攻击的基本进攻总体目标。根据第三方软件和架构所引进的恶意程序可以很大程度地拓展网址的攻击面"。
这一警示是在新的漏洞持续发生的情形下传出的。例如,当月稍早,安裝在8万只由WordPress推动的零售网站上的软件 "Variation Swatches for WooCommerce " 被发觉带有一个储存的跨站脚本制作(XSS)安全性漏洞,它有可能会容许互联网网络攻击引入故意的互联网脚本制作并接手网址。
10月,研究工作人员发觉,一个安裝量超出6万的WordPress软件Post Grid存有2个高风险漏洞,这促使网址很容易被网络攻击接手。并且,在Post Grid的姊妹软件Team Showcase中也看到了几乎同样的漏洞,该软件有6000个安裝量。
一样在10月,在Hashthemes Demo Importer的设备中看到了一个WordPress软件漏洞,它容许有着定阅者管理权限的客户删掉网址的任何內容。
研究工作人员觉得,网址的使用者必须对第三方软件和架构提高警惕,并维持安全补丁,她们应当应用网络技术应用程序流程服务器防火墙来维护她们的网址,及其应用可以发觉她们网址上存有恶意程序的解决方法。
文中翻譯自:https://threatpost.com/all-in-one-seo-plugin-bug-threatens-3m-wordpress-websites-takeovers/177240/倘若转截,请标明全文详细地址。