В плагине All In One SEO испралены серьезные уязвимости

Плагин «All In One SEO» исправил ряд серьезных уязвимостей, обнаруженных командой сканирования Jetpack две недели назад. Версия 4.1.5.3, выпущенная 8 декабря, включает исправления уязвимости SQL-инъекции и ошибки повышения привилегий.

Марк Монпас (Marc Montpas), исследователь который обнаружил уязвимости пояснил как их можно использовать:

«В случае использования уязвимость SQL-инъекции (метод инъекции кода, который может разрушить вашу базу данных) может предоставить злоумышленникам доступ к конфиденциальной информации из базы данных уязвимого сайта (например, имена пользователей и хэшированные пароли). Обнаруженная нами ошибка повышения привилегий может предоставить злоумышленникам доступ к защищенным конечным точкам REST API, к которым у них не должно быть доступа. В конечном счете это может позволить пользователям с учетными записями с низкими привилегиями, таким как подписчики, выполнять удаленное выполнение кода на затронутых сайтах.»

Общая система оценки уязвимостей (CVSS) присвоила уязвимостям высокие и критические баллы за возможность использования поэтому всем у кого устовновлен этот плагин нужно обновиться в самое ближайшее время.

Оставьте комментарий