29.07.2021

Hack Pub

Новости интересные и малоизвестные из IT индустрии

В WordPress-плагине All In One SEO Pack обнаружено несколько уязвимостей

В плагине All In One SEO Pack, который используется для SEO-оптимизации сайта на движке WordPress, обнаружено несколько опасных уязвимостей. Две бреши, согласно данным компании Sucuri, позволяют хакеру получить повышенные привилегии, еще одна является XSS-уязвимостью.

ИБ-эксперты говорят, что обнаруженные уязвимости являются весьма опасными и ставят под угрозу компрометации огромнейшее количество систем, поскольку всего на базе WordPress работает свыше 73 миллионов web-сайтов, 15 миллионов из которых задействуют плагин «All In One SEO Pack» для SEO-оптимизации.

В Sucuri подчеркивают, что уязвимости повышения привилегий позволяют атакующим добавить и изменить метаинформацию web-сайта, которая может негативным образом повлиять на рейтинг ресурса в поисковой системе.

Эксплуатация XSS-уязвимости, в свою очередь, может привести к выполнению вредоносного кода JavaScript на панели управления администратора. «Это означает, что хакер может внедрить любой код JavaScript и выполнить ряд действий, таких как изменение пароля входа в учетную запись администратора и внедрение бэкдора в файлах», — отмечают специалисты.

Отметим, что бреши могут предоставить хакерам доступ к важным данным, осуществить дефейс ресурса, перенаправить посетителей web-сайта на вредоносную страницу и даже организовать DDoS-атаки. Правда, пока данные о случаях эксплуатации обнаруженных уязвимостей отсутствуют.