آسیب پذیری افزونه وردپرس All In One SEO تا 3+ میلیون را تحت تأثیر قرار می دهد

افزونه وردپرس All In One SEO (AIOSEO) که بیش از سه میلیون نصب فعال دارد، در برابر دو حمله Cross-site scripting (XSS) آسیب پذیر است.

این آسیب‌پذیری‌ها بر تمامی نسخه‌های AIOSEO تا و از جمله نسخه 4.2.9 تأثیر می‌گذارد.

Stored Cross-Site Scripting

حملات اسکریپت بین سایتی (XSS) نوعی سوء استفاده تزریقی است که شامل اجرای اسکریپت های مخرب در مرورگر کاربر است که می تواند منجر به دسترسی به کوکی ها، جلسات کاربر و حتی تصاحب سایت شود.

دو نوع رایج حملات اسکریپت بین سایتی عبارتند از:

• اسکریپت بین سایتی منعکس شده
• اسکریپت بین سایتی ذخیره شده

یک XSS منعکس شده به ارسال یک اسکریپت برای کاربری که روی آن کلیک می‌کند متکی است، که به سایت آسیب‌پذیر می‌رود و سپس حمله را به کاربر «انعکاس می‌دهد».

ذخیره شده XSS زمانی است که اسکریپت مخرب در خود سایت آسیب پذیر قرار دارد.

هکرها از هر نوع ورودی به وب‌سایت مانند فرم تماس، فرم آپلود تصویر، هر منطقه‌ای که کسی می‌تواند آپلود یا ارسال کند، استفاده می‌کنند.

این آسیب‌پذیری زمانی ایجاد می‌شود که بررسی‌های امنیتی کافی برای مسدود کردن ورودی‌های ناخواسته وجود نداشته باشد.

دو مشکلی که بر افزونه AIOSEO تأثیر می‌گذارد، هر دو آسیب‌پذیری Scripting Cross-Site ذخیره شده هستند.

CVE-2023-0585

به آسیب‌پذیری‌ها شماره‌هایی برای پیگیری آن‌ها اختصاص داده می‌شود. اولین مورد اختصاص داده شد، CVE-2023-0585.

این آسیب‌پذیری از ناتوانی در سالم‌سازی ورودی‌ها ناشی می‌شود. این بدان معنی است که فیلترینگ کافی برای جلوگیری از آپلود یک اسکریپت مخرب توسط هکر انجام نمی شود.

اطلاعیه پایگاه داده ملی آسیب پذیری (NVD) آن را اینگونه توصیف می کند:

افزونه All in One SEO Pack برای وردپرس در برابر اسکریپت‌های بین سایتی ذخیره شده از طریق پارامترهای متعدد در نسخه‌های 4.2.9 آسیب‌پذیر است، زیرا به دلیل سالم‌سازی ناکافی ورودی و خروج خروجی، از آن استفاده می‌شود.

این امکان را برای مهاجمان احراز هویت شده با نقش Administrator یا بالاتر فراهم می‌کند تا اسکریپت‌های وب دلخواه را در صفحاتی تزریق کنند که هر زمان که کاربر به صفحه تزریق شده دسترسی پیدا کند، اجرا می‌شوند.

به این آسیب پذیری سطح تهدید 4.4 (از ده) اختصاص داده شد که سطح متوسطی است.

برای انجام این حمله، مهاجم ابتدا باید امتیازات مدیر یا بالاتر را کسب کند.

CVE-2023-0586

این حمله مشابه حمله اول است. تفاوت اصلی این است که یک مهاجم باید حداقل یک سطح مشارکت کننده از امتیاز دسترسی به وب سایت را در نظر بگیرد.

یک نقش در سطح مشارکت کننده توانایی ایجاد و تولید محتوا را دارد اما نمی تواند آن را منتشر کند.

این آسیب پذیری نیز یک تهدید در سطح متوسط ​​است اما امتیاز آسیب پذیری بالاتر 6.4 به آن اختصاص داده شده است.

این شرح است:

“افزونه All in One SEO Pack برای وردپرس در برابر اسکریپت های بین سایتی ذخیره شدهاز طریق پارامترهای متعدد در نسخه‌های 4.2.9 آسیب‌پذیر است، زیرا به دلیل سالم‌سازی ناکافی ورودی و خروج خروجی، از آن استفاده می‌شود.

این امکان را برای مهاجمان احراز هویت شده با نقش Contributor+ فراهم می‌کند تا اسکریپت‌های وب دلخواه را در صفحات تزریق کنند که هر زمان که کاربر به صفحه تزریق شده دسترسی پیدا کند، اجرا می‌شوند.

اقدام توصیه شده

اولین آسیب‌پذیری به امتیازات سطح سرپرست نیاز دارد و امتیاز سطح تهدید متوسط ​​نسبتاً پایین 4.4 به آن اختصاص داده شده است.

اما آسیب‌پذیری دوم فقط به سطح پایین‌تری از امتیاز نیاز دارد و امتیاز بالاتری با 6.4 دارد.

به طور کلی یک سیاست خوب برای به روز رسانی همه افزونه های آسیب پذیر است. پلاگین AIOSEO نسخه 4.3.0 حاوی اصلاحات امنیتی است که در تغییرات رسمی AIOSEO به عنوان “سخت کردن امنیتی” اضافی نامیده می شود.