В плагине ” All In One SEO Pack “, который используется для SEO-оптимизации сайта на движке WordPress, обнаружено несколько опасных уязвимостей. Две бреши, согласно данным компании Sucuri, позволяют злоумышленнику получить повышенные привилегии, еще одна является XSS-уязвимостью.
ИБ-эксперты говорят, что обнаруженные уязвимости являются весьма опасными и ставят под угрозу компрометации огромнейшее количество систем, поскольку всего на базе WordPress работает свыше 73 млн. web-сайтов, 15 миллионов из которых задействуют плагин “All In One SEO Pack” для SEO-оптимизации. В Sucuri подчеркивают, что уязвимости повышения привилегий позволяют атакующим добавить и изменить метаинформацию web-сайта, которая может негативным образом повлиять на рейтинг ресурса в поисковой системе.
Эксплуатация XSS-уязвимости, в свою очередь, может привести к выполнению вредоносного кода JavaScript на панели управления администратора. “Это означает, что злоумышленник может внедрить любой код JavaScript и выполнить ряд действий, таких как изменение пароля входа в учетную запись администратора и внедрение бэкдора в файлах”, – отмечают специалисты.
Отметим, что бреши могут предоставить злоумышленникам доступ к важным данным, осуществить дефейс ресурса, перенаправить посетителей web-сайта на вредоносную страницу и даже организовать DDoS-атаки. Правда, пока данные о случаях эксплуатации обнаруженных уязвимостей отсутствуют. Для того чтобы обезопасить свою систему от взлома и компрометации, необходимо обновить плагин “All In One SEO Pack” до версии 2.1.6. (WordPress/NovostIT)
