Создание сайтов в Ташкенте

Связаться с нами

Чтобы начать диалог о вашей задаче, нам нужно поговорить. Можно позвонить по номеру +998 99 882-11-33, коротко рассказать о проекте в этой форме или написать по Телеграм

Ваш проект *

Выберите один из пунктов!

01

03

Ваше имя *
Номер телефона *
Email *

Как вы узнали о нас?

03

03

12 Июль 2016

Уязвимость в популярном плагине для WordPress поставила под угрозу свыше миллиона сайтов

Проблема позволяет неавторизованному пользователю перехватить учетную запись администратора.

Независимый исследователь Давид Ваартъес (David Vaartjes) сообщил об опасной уязвимости в популярном плагине All In One SEO Pack, предназначенном для SEO-оптимизации сайта на движке WordPress. Проблема позволяет неавторизованному пользователю перехватить учетную запись администратора уязвимого ресурса.

Ошибка существует в модуле Bad Bot Blocker, служащем для защиты сайта от ботов и спама. Уязвимость может быть проэксплуатирована удаленно путем отправки специально сформированных HTTP-запросов.

Функция Bad Bot Blocker предназначена для блокировки ботов и спама на основании значений User-Agent и Referer. При активированной опции «Отслеживать заблокированные боты» (Track Blocked Bots) плагин будет отслеживать запросы заблокированных ботов и отображать их на странице на панели администратора. 

В связи с тем, что плагин не корректно проводит санитизацию запросов, злоумышленник может внедрить вредоносный код JavaScript в заголовок запроса. Таким образом преступник может осуществить XSS-атаку, похитить токены сессий и получить доступ к панели администратора без аутентификации.

Разработчик All In One SEO Pack компания Semper Fi Web Design уже выпустила новую исправленную версию 2.3.7. Эксперты рекомендуют всем пользователям как можно быстрее обновить текущие версии плагина.