Nalezena zranitelnost ve WordPress pluginu All in One SEO Pack

V jednom z nejrozšířenějších WordPress pluginů byla nalezena bezpečnostní díra (konkrétně se jedná o dva problémy). Tvůrci oblíbeného All in One SEO Pack na to reagovali rychle a vytvořili bezpečnostní aktualizaci. Takže neváhejte a využijte automatické aktualizace.

Kdo je v ohrožení?

Naštěstí se tento problém týká pouze WordPress instalací s povolenou registrací a členy, kteří mají oprávnění psát či pozměňovat nové příspěvky. Takovýto člen totiž může prostřednictvím formulářů , které plugin přidává na optimalizaci pro vyhledávače (konkrétně title, description a meta tag keywords), vložit škodlivý kód. Na stránce s příspěvkem se tak může spustit klasický XSS (cross site scripting) útok. Což je velice nepříjemné, ale nijak fatální.

Ovšem tato bezpečnostní hrozba v kombinací s druhou dírou už je vážnější. Lze totiž vložit javascript, který v administraci spustí i samotný administrátor. Teoreticky, tak může administrátor nevědomky měnit nastavení WordPress, popřípadě něco i smazat (hrozí CSRF útok). Nejhorší variantou je samozřejmě ztráta hesla anebo vytvoření backdoor.

Problémy s aktualizací

Objevilo se několik problémů s aktualizací pluginu. Někteří majitelé WordPress nevidí možnost aktualizace, což se může u čerstvě vydaných patchů a updatů stávat. Vyřeší se to jednoduše. Klikněte v administraci na pluginy. Najděte All in One SEO Pack a zaškrtněte u něj checkbox. Následně nad anebo pod seznamem pluginu z rolovacího menu vyberte Aktualizovat a klikněte na tlačítko použít. WordPress se „násilím“ podívá zdali náhodou neexistuje v repositáři aktualizace. Jakmile jí najde provede aktualizaci na poslední verzi.

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *