Kilka dni temu w tej popularnej wtyczce WordPressa – All In One SEO Pack wspomagającej działania SEO (przyp. search engine optimization) odkryta została zakwalifikowana jako bardzo poważna luka bezpieczeństwa.
Dlaczego w związku z tą wtyczką możemy mówić o powadze sytuacji nawet gdy potencjalnie błąd byłby nawet niewielki?
Wtyczka All In One SEO Pack jest wykorzystywana przez ponad milion serwisów, co już z tego względu powoduje, że ryzyko staje się adekwatnie większe.
Na czym polega problem?
Odkryta luka obejmuje wersje 2.3.6.1 oraz starsze i zezwala osobie lub botowi, który podejmie atak na nasz serwis na przesłanie poprzez spreparowany nagłówek lub też podszycie się pod HTTP User-Agent , pakietu XSS (przyp. Cross-Site Scripting). W wyniku takiego działania gdy administrator / właściciel serwisu odwiedzi panel zarządzania serwisem www i przejdzie do zakładki “Bad Bot Blocker” wtyczki, może umożliwić pełny dostęp atakującemu.
Warto wspomnieć, że atak tego typu ma szansę na powodzenie jedynie kiedy aktywna jest opcja “Track Blocked Bots”. Ustawienie to nie jest domyślnie aktywne, co w tej sytuacji może cieszyć, jednak jeśli korzystacie z wtyczki, warto sprawdzić czy aktywowaliście tę opcję i przede wszystkim jak najszybciej dokonać aktualizacji.
W chwili pisania tego artykułu najnowszą dostępną do pobrania wersją jest 2.3.8
Jednocześnie chcemy poinformować, że ze strony naszych serwerów podejmowane są również w wypadku tego typu zagrożeń stosowne kroki i wdrożone zostały reguły mające zapobiegać potencjalnemu wykorzystaniu luki. Niemniej aktualizacje wtyczek oraz skryptu głównego są bardzo ważne.