• Artigos
  • Games
  • Hardware
  • Internet
  • Segurança
  • Tecnologia
TopGadget
TopGadget
Home Segurança Digital All in One SEO Pack do WordPress pode deixar seu site vulnerável a ataques se desatualizado
Segurança Digital

All in One SEO Pack do WordPress pode deixar seu site vulnerável a ataques se desatualizado

Por Depto de Redação20 de julho de 2020Atualizado:20 de julho de 2020Nenhum comentário2 minutos de leitura
Facebook Twitter Pinterest Email Telegram WhatsApp
Facebook Twitter LinkedIn Pinterest Telegram WhatsApp
Publicidade

A equipe de Threat Intelligence da Wordfence descobriu uma vulnerabilidade em um plugin do WordPress instalado em mais de dois milhões de sites chamados All In One SEO Pack.

Se explorada, a falha pode permitir que usuários autenticados com acesso no nível de contribuidor ou superior injetem scripts maliciosos que são executados quando a vítima acessa a página ‘todas as postagens’ do painel wp-admin.

Depois de descobrir esse problema de segurança de gravidade média, o Wordfence entrou em contato com a equipe do plug-in e o All In One SEO Pack recebeu um patch para corrigir o problema apenas alguns dias depois.

Publicidade

Os usuários do plug-in devem atualizar para a versão mais recente do All In One SEO Pack (3.6.2) imediatamente para evitar serem vítimas de possíveis ataques que tentam explorar a vulnerabilidade agora corrigida.

O All in One SEO Pack é um plugin do WordPress que fornece vários recursos de SEO para ajudar o conteúdo de um site a ter uma classificação mais alta no Google e em outros mecanismos de pesquisa.

Como parte da funcionalidade do plug-in, ele permite que os usuários criem ou editem postagens para definir um título e uma descrição de SEO diretamente de uma postagem enquanto estão trabalhando nela. Esse recurso está disponível para todos os usuários com a capacidade de criar postagens, como colaboradores, autores e editores.

Infelizmente, antes que o plug-in fosse corrigido, os metadados de SEO das postagens, que incluem o título de SEO e os campos de descrição de SEO, não tinham higienização de entrada. Isso permite que usuários de nível inferior, como colaboradores e autores, injetem HTML e código JavaScript malicioso nesses campos.

Como o título de SEO e a descrição de SEO de cada postagem são exibidos na página ‘todas as postagens’, todos os valores adicionados a esses campos também serão exibidos em um formato não autorizado, o que faria com que os scripts salvos nesses campos fossem executados a qualquer momento. usuário acessou esta página.

Na versão 3.6.2 do All in One SEO Pack, o desenvolvedor do plug-in adicionou sanitização a todos os meta-valores de postagem de SEO para que qualquer código injetado neles não pudesse se tornar scripts executáveis.

All In One SEO Pack hack wordpress
Compartilhe. Facebook Twitter Pinterest LinkedIn Tumblr Email

Artigos Relacionados

Atualizado:23 de maio de 2022

Startup quer armazenar dados importantes da Terra na Lua

23 de maio de 2022
Atualizado:11 de maio de 2022

Cibercriminosos usam SEO para melhorar classificação de PDFs maliciosos

11 de maio de 2022
Atualizado:10 de maio de 2022

Hackers ocultam malware nos logs de eventos do Windows

10 de maio de 2022
Adicionar um comentário

Deixar uma resposta Cancelar Resposta

  • Home
  • Privacidade
  • Termos de Uso
  • Cookies
©2019 - 2022 A menos que aja alguma outra indicação, todos os direitos são reservados.

Type above and press Enter to search. Press Esc to cancel.