Взлом и проверка на уязвимости

Уязвимость в плагине для WordPress Yoast SEO 9.1

Несколько дней назад исследователь обнаружил серьезную уязвимость в плагине Yoast. Эта уязвимость Yoast SEO 9.1 может позволить злоумышленнику выполнить произвольные команды. К счастью, Yoast исправил недостаток в недавнем выпуске 9.2. Поэтому пользователям рекомендуется срочно обновиться для предотвращения атак.

Обнаружена уязвимость Yoast SEO 9.1

Как сообщает Search Engine Journal в своем блоге, исследователь безопасности обнаружил уязвимость в плагине Yoast SEO 9.1, о которой никто не сообщал. Согласно его выводам, она позволяет хакерам выполнять произвольные команды в целевой системе.

Исследователь Димопулос Илиас с псевдонимом gweeperx в Твиттере впервые раскрыл о данном недостатке.

Согласно SEJ, Ilias обнаружил уязвимость в Yoast SEO 9.1 (CVE-2018-19370). Чтобы воспользоваться этой уязвимостью, злоумышленник может просто убедить жертву открыть специально созданный файл. Как указано в сообщении безопасности,

«Уязвимость в unzip_file в admin/import/class-import-settings.php в плагине Yoast SEO (wordpress-seo) до 9.2.0 для WordPress позволяет SEO-менеджеру выполнять команды в операционной системе через импортирование zip-файла.”

В дополнение к рецензии, исследователь также продемонстрировал эксплойт в видео.

Обновление до Yoast SEO 9.2

Описанная здесь уязвимость предположительно затронула Yoast SEO 9.1 и более ранние версии. Кроме того, она работает только для ролей SEO менеджера.

Узнав о недостатке, Yoast немедленно исправили уязвимость и выпустили обновление. Хотя обновление уже есть, проблема заключается в том, что люди не обновляют плагины. Согласно статистике Yoast SEO Plugin, только 23,7% от общего числа активных пользователей обновились до версии 9.2. Это означает, что большое количество пользователей Yoast SEO остаются уязвимыми.

Настоятельно рекомендуется загрузить последнюю версию Yoast SEO 9.2 для защиты от возможных взломов.

One Comment

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

60 запросов. 1,000 секунд.