Уязвимость в популярном плагине для WordPress поставила под угрозу свыше миллиона сайтов

Независимый исследователь Давид Ваартъес (David Vaartjes) сообщил об опасной уязвимости в популярном плагине All In One SEO Pack, предназначенном для SEO-оптимизации сайта на движке WordPress. Проблема позволяет неавторизованному пользователю перехватить учетную запись администратора уязвимого ресурса.

Ошибка существует в модуле Bad Bot Blocker, служащем для защиты сайта от ботов и спама. Уязвимость может быть проэксплуатирована удаленно путем отправки специально сформированных HTTP-запросов.

Функция Bad Bot Blocker предназначена для блокировки ботов и спама на основании значений User-Agent и Referer. При активированной опции «Отслеживать заблокированные боты» (Track Blocked Bots) плагин будет отслеживать запросы заблокированных ботов и отображать их на странице на панели администратора. В связи с тем, что плагин не корректно проводит санитизацию запросов, злоумышленник может внедрить вредоносный код JavaScript в заголовок запроса. Таким образом преступник может осуществить XSS-атаку, похитить токены сессий и получить доступ к панели администратора без аутентификации.

Разработчик All In One SEO Pack компания Semper Fi Web Design уже выпустила новую исправленную версию 2.3.7. Эксперты рекомендуют всем пользователям как можно быстрее обновить текущие версии плагина.