Wordfence公布了该公司在 2023 年 1 月负责任地向All In One SEO 插件的开发人员披露的两个存储 XSS 漏洞的详细信息。这些漏洞可能影响了 4.2.9 及更早版本的超过 300 万用户。
一个获得 6.4(中等)CVSS 分数的漏洞,Wordfence 归因于不充分的输入清理和输出转义。研究人员发现,这“使得经过身份验证的具有贡献者级别或更高访问权限的攻击者有可能在页面中注入任意 Web 脚本,只要用户访问注入的页面,这些脚本就会执行。”
第二个漏洞的 CVSS 评分为 4.4(中等),需要经过身份验证的攻击者拥有管理员级别的权限。Wordfence 概述了攻击者可能如何利用这些漏洞:
不幸的是,此插件的易受攻击版本无法在帖子和页面创建期间以及更改插件设置时转义提交的网站标题、元描述和其他元素。这使得有权访问帖子编辑器的用户(例如投稿人)可以在这些字段中插入恶意 JavaScript,这将在任何经过身份验证的用户(例如网站管理员)的浏览器中执行,以编辑此类帖子或页面。
这是一种可能发生的情况,因为贡献者撰写的帖子必须在发布前进行审查和审核。
All In One SEO 已在 4.3.0 版中修补这两个漏洞,但到目前为止,只有 25.5% 的插件 3+ 百万用户群更新到最新版本,大约 3/4 的插件用户仍然容易受到攻击。
该插件的 4.3.0 版变更日志包括一个简短、模糊的安全修复说明:“更新:额外的安全强化。” 自 4.3.0 中修复漏洞以来,该插件又发布了两个版本。