被接管的风险。有超过300万个网站使用该插件。据Sucuri研究人员称,在网站上拥有帐户(如订户、购物帐户持有人或会员)的攻击者可以利用这些漏洞,其中包括权限提升漏洞和SQL注入漏洞。在周三的一篇帖子中,研究人员表示,默认情况下,WordPress网站允许网络上的任何用户创建一个帐户,默认情况下,新帐户除了能够发表评论外没有任何特权。但是,某些漏洞(例如刚刚发现的漏洞)允许这些订阅者拥有比他们原先计划的更多的特权。Sucuri表示,这对漏洞已经足够成熟,很容易被利用,因此用户应该升级到补丁版本4.1.5.3。据信,Automattic的安全研究员MarcMontpas发现了这些漏洞。提权漏洞和SQL注入漏洞这两个漏洞中比较严重的是提权漏洞,影响AllinOneSEO的4.0.0和4.1.5.2版本。它在CVSS漏洞严重等级中的严重等级为9.9(满分10),因为它很容易被犯罪分子利用,也可用于在Web服务器上创建后门。Sucuri研究人员解释说,只需将请求中的单个字符更改为大写字母即可利用该漏洞。从本质上讲,该插件可以向各种RESTAPI端点发送命令并进行权限检查,以确保没有人在做任何超出其权限的事情。然而,RESTAPI路由区分大小写,因此攻击者只需更改一个字符的大小写即可绕过身份验证检查。Sucuri研究人员表示:“当该漏洞被利用时,该漏洞可以覆盖WordPress文件结构中的某些文件,从而允许任何攻击者获得后门的访问权限。这使得攻击者可以接管网站并可以将帐户升级到行政人员。”第二个漏洞的严重性CVSS评分为7.7,影响AllinOneSEO的4.1.3.1和4.1.5.2版本。具体来说,该漏洞出现在名为“/wp-json/aioseo/v1/objects”的API端点中。Sucuri表示,如果攻击者利用之前的漏洞将他们的权限提升到管理员级别,他们将获得对端点的访问权限,并从那里向后端数据库发送恶意SQL命令,检索用户凭据、管理信息和其他敏感数据。研究人员表示,为了安全起见,AllinOneSEO的用户应及时将软件更新至补丁版本。其他防御措施包括:1.审查系统中的管理员用户,删除可疑用户。2.修改所有admin账号的密码,增加admin面板的加固措施。黑客瞄准的插件研究人员表示,WordPress插件仍然是网络攻击者破坏网站的重要方式。例如,在12月初,在针对超过160万个WordPress网站的主动攻击中,研究人员发现了数千万次试图利用四个不同插件和几个Epsilon框架主题的尝试。“WordPress插件仍然是所有网络应用程序的主要风险,它们仍然是攻击者的常规目标。通过第三方插件和框架引入的恶意代码可以极大地扩大网站的攻击面,”研究人员说。随着新的漏洞不断出现,警告也随之而来。例如,本月早些时候,安装在80,000个WordPress驱动的零售网站上的插件“WooCommerceVariationSwatches”被发现包含一个存储的跨站点脚本(XSS)漏洞,该漏洞可能允许网络攻击者注入恶意Web脚本并接管网站。10月,研究人员在PostGrid中发现了两个高危漏洞,这是一个安装量超过60,000的WordPress插件,这使得该站点很容易被攻击者接管。并且,在PostGrid的姊妹插件TeamShowcase中发现了一个几乎相同的漏洞,该插件有6,000次安装。同样在10月,在HashthemesDemoImporter产品中发现了一个WordPress插件漏洞,该漏洞允许具有订阅者权限的用户删除站点的所有内容。根据研究人员的说法,网站所有者需要对第三方插件和框架保持警惕并及时更新它们的安全性,他们应该使用Web应用程序防火墙来保护他们的网站,以及可以在他们的网站上发现恶意代码的解决方案。本文翻译自:https://threatpost.com/all-in-one-seo-plugin-bug-threatens-3m-wordpress-websites-takeovers/177240/如有转载请注明出处。
