פרצת אבטחה חדשה (פורסמה היום 12/07/16) וחמורה מסוג Cross-Site Scripting התגלתה בפלאגין הפופולרי "All in one SEO" (מעל מליון התקנות פעילות).
הפרצה מאפשרת את "גניבת" Session משתמש המחובר למערכת ה-Admin של הWordpress.
מהות הפריצה
הפרצה מנצלת חולשה בפלאגין "All in one SEO" במגנון חסימת הרובוטים שלו.
מנגנון זה מאפשר לחסום רובוטים מסויימים (כאלו הפוגעים ב-SEO) מלבקר באתר שלכם לפי ה-UserAgent של הרובוט.
יחד עם זאת, במידה והאפשרות בשם "Track Blocked Bots" פועלת (לא דולקת כברירת מחדל), הפלאגין גם ירשום עבורכם בעמוד ניהול הפלאגין מתי בדיוק הרובוט ביקר.
במנגנון זה גם נמצאת הפרצה- הפלאגין לא "מנקה" (sensitization) נכון את הפלט המתקבל מה-WEB כך שניתן "להזריק" מידע לתוך הרשימה- וכאשר משתמש ה-ADMIN נכנס לעמוד הניהול הפלאגין ב-Wordpress וטוען את המידע שהוזרק – ניתן לגנוב את ה-Session שלו ולמעשה להכנס לניהול ה-Wordpress ללא צורך בשם משתמש או סיסמא.
איך מתגוננים?
הפרצה חלה על כלל גרסאות "All in one seo" ויש לעדכן את הפלאגין לגרסתו האחרונה (2.3.7).
במידה ואינכם משתמשים במערכת ה-SWAF שלנו (מערכת הקיימת ועובדת עבור כלל שירותי ה-Linux השיתופיים וכן עבור השרתים הנמצאים תחת חבילות הניהול של SPD), נא עדכנו מיידית את הפלאגין.
השאר תגובה