Il National Vulnerability Database degli Stati Uniti ha pubblicato un avviso su due vulnerabilità scoperte nel plugin All In One SEO WordPress.
Il plugin All In One SEO (AIOSEO), che ha oltre tre milioni di installazioni attive, è vulnerabile a due attacchi Cross-site scripting (XSS).
Le vulnerabilità colpiscono tutte le versioni di AIOSEO fino alla versione 4.2.9 inclusa.
Scripting cross-site archiviato
Gli attacchi Cross-site scripting (XSS) sono una forma di exploit injection che prevede l’esecuzione di script dannosi nel browser di un utente che possono quindi portare all’accesso a cookie, sessioni utente e persino al controllo del sito.
Le due forme più comuni di attacchi Cross-Site Scripting sono:
- Scripting cross-site riflesso
- Scripting cross-site archiviato
Un XSS riflesso si basa sull’invio di uno script a un utente che fa clic su di esso, che va al sito vulnerabile che poi “riflette” l’attacco sull’utente.
Un XSS memorizzato si verifica quando lo script dannoso si trova sul sito vulnerabile stesso.
Gli hacker sfruttano qualsiasi forma di input al sito Web come un modulo di contatto, un modulo di caricamento di immagini, qualsiasi area in cui qualcuno può caricare o effettuare un invio.
La vulnerabilità sorge quando non ci sono controlli di sicurezza sufficienti per bloccare input indesiderati.
I due problemi che interessano il plugin AIOSEO sono entrambi vulnerabilità Stored Cross-Site Scripting.
CVE-2023-0585
Alle vulnerabilità vengono assegnati numeri per tenerne traccia. Il primo è stato assegnato, CVE-2023-0585.
Questa vulnerabilità deriva dalla mancata sanificazione degli input. Ciò significa che viene eseguito un filtraggio insufficiente per impedire a un hacker di caricare uno script dannoso.
L’avviso del National Vulnerability Database (NVD) lo descrive così:
“Il plug-in All in One SEO Pack per WordPress è vulnerabile allo Stored Cross-Site Scripting tramite parametri multipli nelle versioni fino alla 4.2.9 inclusa a causa dell’insufficiente sanificazione dell’input e dell’escape dell’output.
Ciò consente agli aggressori autenticati con ruolo di amministratore o superiore di iniettare script web arbitrari in pagine che verranno eseguiti ogni volta che un utente accede a una pagina iniettata.
Alla vulnerabilità è stato assegnato un livello di minaccia di 4,4 (su dieci), che è un livello medio.
Un utente malintenzionato deve prima acquisire privilegi di amministratore o superiori per perpetrare questo attacco.
CVE-2023-0586
Questo attacco è simile al primo. La differenza principale è che un utente malintenzionato deve assumere almeno un livello di privilegio di accesso al sito Web da collaboratore.
Un ruolo a livello di collaboratore ha la capacità di creare contenuto ma non di pubblicarlo.
Anche la vulnerabilità è una minaccia di livello medio, ma le viene assegnato un punteggio di vulnerabilità più elevato pari a 6,4.
Questa è la descrizione:
“Il plug-in All in One SEO Pack per WordPress è vulnerabile allo Stored Cross-Site Scripting tramite parametri multipli nelle versioni fino alla 4.2.9 inclusa a causa dell’insufficiente sanificazione dell’input e dell’escape dell’output.
Ciò consente agli aggressori autenticati con ruolo Collaboratore+ di iniettare script web arbitrari in pagine che verranno eseguiti ogni volta che un utente accede a una pagina inserita.
Azione raccomandata
La prima vulnerabilità richiede privilegi di livello amministratore e le viene assegnato un punteggio di livello di minaccia medio relativamente basso pari a 4,4.
Ma la seconda vulnerabilità richiede solo un livello di privilegio inferiore ed è valutata più in alto, pari a 6,4.
In genere è una buona politica aggiornare tutti i plugin vulnerabili. La versione 4.3.0 del plugin AIOSEO è quella contenente la correzione di sicurezza, a cui si fa riferimento nel funzionario Registro delle modifiche AIOSEO come ulteriore “rafforzamento della sicurezza”.
Leggi i dettagli delle due vulnerabilità:
Immagine in primo piano di Shutterstock/Bangun Stock Productions