پایگاه ملی آسیبپذیری ایالات متحده توصیهای درباره دو آسیبپذیری کشفشده در افزونه All In One SEO WordPress منتشر کرد.
افزونه All In One SEO (AIOSEO) که بیش از سه میلیون نصب فعال دارد، در برابر دو حمله Cross-site scripting (XSS) آسیب پذیر است.
این آسیبپذیریها بر تمام نسخههای AIOSEO تا و از جمله نسخه ۴.۲.۹ تأثیر میگذارد.
Stored Cross-Site Scripting
حملات بین سایتی اسکریپت (XSS) شکلی از سوء استفاده تزریقی است که شامل اجرای اسکریپت های مخرب در مرورگر کاربر می شود که سپس می تواند منجر به دسترسی به کوکی ها، جلسات کاربر و حتی تصاحب سایت شود.
دو نوع رایج حملات اسکریپت بین سایتی عبارتند از:
- اسکریپت بین سایتی منعکس شده
- Stored Cross-Site Scripting
یک XSS منعکس شده به ارسال یک اسکریپت برای کاربری که روی آن کلیک میکند متکی است، که به سایت آسیبپذیر میرود و سپس حمله را به کاربر «انعکاس میدهد».
یک XSS ذخیره شده زمانی است که اسکریپت مخرب در خود سایت آسیب پذیر باشد.
هکرها از هر نوع ورودی به وبسایت مانند فرم تماس، فرم آپلود تصویر، هر منطقهای که کسی میتواند آپلود یا ارسال کند، استفاده میکنند.
این آسیبپذیری زمانی ایجاد میشود که بررسیهای امنیتی کافی برای مسدود کردن ورودیهای ناخواسته وجود نداشته باشد.
دو مشکلی که بر افزونه AIOSEO تأثیر میگذارد، هر دو آسیبپذیری Scripting Cross-Site ذخیره شده هستند.
CVE-2023-0585
آسیبپذیریها شمارههایی برای پیگیری آنها اختصاص داده میشوند. اولین مورد اختصاص داده شد، CVE-2023-0585.
این آسیبپذیری از عدم پاکسازی ورودیها ناشی میشود. این بدان معناست که فیلترینگ کافی برای جلوگیری از آپلود یک اسکریپت مخرب توسط هکر انجام نشده است.
اطلاعیه پایگاه داده ملی آسیب پذیری (NVD) آن را اینگونه توصیف می کند:
“افزونه All in One SEO Pack برای وردپرس در برابر اسکریپت های بین سایتی ذخیره شده از طریق چندین پارامتر در نسخه های تا، و از جمله، ۴.۲.۹ به دلیل سالم سازی ناکافی ورودی و خروج خروجی آسیب پذیر است.
این امکان را برای مهاجمان احراز هویت شده با نقش مدیر یا بالاتر فراهم میکند تا اسکریپتهای وب دلخواه را در صفحاتی تزریق کنند که هر زمان که کاربر به صفحه تزریق شده دسترسی پیدا کند، اجرا میشود.
به این آسیبپذیری سطح تهدید ۴.۴ (از ده) اختصاص داده شده است که یک سطح متوسط است.
یک مهاجم برای انجام این حمله ابتدا باید امتیازات سرپرست یا بالاتر را کسب کند.
CVE-2023-0586
این حمله مشابه حمله اول است. تفاوت اصلی این است که یک مهاجم باید حداقل یک سطح مشارکت کننده از امتیاز دسترسی به وب سایت را در نظر بگیرد.
نقش در سطح مشارکتکننده توانایی ایجاد محتوا را دارد اما انتشار آن را ندارد.
این آسیبپذیری همچنین یک تهدید در سطح متوسط است، اما امتیاز آسیبپذیری بالاتر ۶.۴ به آن اختصاص داده شده است.
این شرح است:
“افزونه All in One SEO Pack برای وردپرس در برابر اسکریپت های بین سایتی ذخیره شده از طریق چندین پارامتر در نسخه های تا، و از جمله، ۴.۲.۹ به دلیل سالم سازی ناکافی ورودی و خروج خروجی آسیب پذیر است.
این امکان را برای مهاجمان احراز هویت شده با نقش Contributor+ فراهم میکند تا اسکریپتهای وب دلخواه را در صفحاتی تزریق کنند که هر زمان که کاربر به صفحه تزریقشده دسترسی پیدا کند، اجرا میشوند.”
اقدام توصیه شده
اولین آسیبپذیری به امتیازات سطح سرپرست نیاز دارد و امتیاز سطح تهدید متوسط نسبتاً پایین ۴.۴ به آن اختصاص داده شده است.
اما آسیبپذیری دوم فقط به سطح کمتری از امتیاز نیاز دارد و دارای رتبه بالاتر با ۶.۴ است.
بهروزرسانی همه افزونههای آسیبپذیر عموماً سیاست خوبی است. پلاگین AIOSEO نسخه ۴.۳.۰ حاوی اصلاحات امنیتی است که در تغییر AIOSEO به عنوان “سخت امنیتی” اضافی.
جزئیات دو آسیبپذیری را بخوانید:
CVE-2023-0585
CVE-2023-0586
تصویر ویژه توسط Shutterstock/Bangun Stock Productions