L'équipe Threat Intelligence de Wordfence a découvert une vulnérabilité dans un plugin WordPress installé sur plus de deux millions de sites appelé All In One SEO Pack.
Si elle est exploitée, la faille pourrait permettre aux utilisateurs authentifiés avec un accès de niveau contributeur ou supérieur d'injecter des scripts malveillants qui sont exécutés lorsqu'une victime accède à la page «tous les articles» du panneau wp-admin.
Après avoir découvert ce problème de sécurité de gravité moyenne, Wordfence a contacté l'équipe du plugin et All In One SEO Pack a reçu un correctif pour résoudre le problème quelques jours plus tard.
Les utilisateurs du plugin doivent immédiatement mettre à jour la dernière version de All In One SEO Pack (3.6.2) pour éviter d'être victimes d'attaques potentielles qui tentent d'exploiter la vulnérabilité maintenant corrigée.
Sommaire
Pack SEO tout-en-un
All in One SEO Pack est un plugin WordPress qui fournit plusieurs fonctionnalités de référencement pour aider le contenu d'un site à se classer plus haut sur Google et d'autres moteurs de recherche.
Dans le cadre des fonctionnalités du plugin, il permet aux utilisateurs de créer ou de modifier des articles pour définir un titre et une description SEO directement à partir d'un article au fur et à mesure qu'ils y travaillent. Cette fonctionnalité est disponible pour tous les utilisateurs ayant la possibilité de créer des articles tels que des contributeurs, des auteurs et des éditeurs.
Malheureusement, avant que le plugin ne soit corrigé, les métadonnées SEO pour les publications, qui incluent le titre SEO et les champs de description SEO, n'avaient pas de nettoyage des entrées. Cela permet aux utilisateurs de niveau inférieur comme les contributeurs et les auteurs d'injecter du HTML et du code JavaScript malveillant dans ces champs.
Comme le titre SEO et la description SEO de chaque article sont affichés sur la page « Tous les articles '', toutes les valeurs ajoutées à ces champs y seront également affichées dans un format non approuvé, ce qui entraînerait l'exécution de tous les scripts enregistrés dans ces champs à tout moment. l'utilisateur a accédé à cette page.
Dans la version 3.6.2 de All in One SEO Pack, le développeur du plugin a ajouté une désinfection à toutes les méta-valeurs de publication SEO afin que tout code qui y est injecté ne puisse pas devenir des scripts exécutables.
