Yoast WordPress SEO плагин уязвим для хакеров

Йоаст WordPress SEO Плагин который используется более чем 14 миллионами блогов WordPress в Интернете по сообщениям была открыта для эксплойта, где хакеры могут делать слепые SQL-инъекции.

Слепое SQL-внедрение - это тип атаки SQL-инъекции, которая задает вопросы базы данных истинные или ложные и определяет ответ на основе ответа приложений. Эта атака часто используется, когда веб-приложение настроено для отображения общих сообщений об ошибках, но не смягчает код, уязвимый для внедрения SQL.

Его можно использовать для вставки SQL-запроса в базу данных для извлечения данных, изменения данных или удаления данных. Он часто используется для вставки нежелательных или несанкционированных партнеров, спам-ссылок или вредоносных / рекламных программ на сайтах.

Если вы используете WordPress, есть большая вероятность, что вы используете этот плагин Yoast. Чтобы устранить проблему, обновите до версии 1.7.4 немедленно. Эта версия задокументирована как исправление безопасности, основанное на том, что Райан Дьюхерст обнаружил во время сканирования безопасности. Исправление безопасности говорит:

Исправление безопасности: исправлены возможные уязвимости CSRF и слепого внедрения SQL в массовом редакторе. Добавлена ​​строгая санитария для order_by и параметров заказа. Добавлены дополнительные проверки nonce для запросов, отправляющих дополнительные параметры. Минимальная возможность, необходимая для доступа к редактору, теперь Редактор. Спасибо Райану Дьюхерсту из WPScan за обнаружение и ответственное раскрытие этой проблемы.

Вы можете узнать больше об уязвимости на TheHackerNews.com ,

Постскриптум: Йоаст объявленный что команда WordPress фактически автоматически отправила обновление для установок WordPress, которые запускают более старую версию этого плагина. Поэтому многие сайты, на которых это работает, должны автоматически обновляться.


Об авторе