De Amerikaanse National Vulnerability Database heeft een advies gepubliceerd over twee kwetsbaarheden die zijn ontdekt in de WordPress All In One SEO-plug-in.

De All In One SEO (AIOSEO)-plug-in, die meer dan drie miljoen actieve installaties heeft, is kwetsbaar voor twee cross-site scripting (XSS)-aanvallen.

De kwetsbaarheden treffen alle versies van AIOSEO tot en met versie 4.2.9.

Scripting tussen opgeslagen sites

Cross-site scripting (XSS)-aanvallen zijn een vorm van injectie-exploit waarbij schadelijke scripts in de browser van een gebruiker worden uitgevoerd die kunnen leiden tot toegang tot cookies, gebruikerssessies en alles in één overname van de site.

De twee meest voorkomende vormen van Cross-Site Scripting-aanvallen zijn:

Gespiegelde cross-site scripting Opgeslagen cross-site scripting

Een gereflecteerde XSS is afhankelijk van het verzenden van een script naar een gebruiker die erop klikt, dat naar de kwetsbare site gaat die vervolgens de aanval “reflecteert” naar de gebruiker.

Een opgeslagen XSS is wanneer het kwaadaardige script zich op dezelfde kwetsbare plek bevindt.

Hackers maken misbruik van elke vorm van toegang tot een website, zoals een contactformulier, een formulier voor het uploaden van afbeeldingen, elk gebied waar iemand kan uploaden of een presentatie kan geven.

De kwetsbaarheid ontstaat wanneer er onvoldoende beveiligingscontroles zijn om ongewenste indringers te blokkeren.

De twee problemen die van invloed zijn op de AIOSEO-plug-in zijn beide kwetsbaarheden voor opslag van sequenties tussen sites.

CVE-2023-0585

Kwetsbaarheden krijgen nummers toegewezen om ze op te sporen. De eerste werd toegewezen, CVE-2023-0585.

Deze kwetsbaarheid ontstaat door het niet opschonen van invoer. Dit betekent dat er onvoldoende gefilterd wordt om te voorkomen dat een hacker een kwaadaardig script uploadt.

Het bericht van de Nationale Kwetsbaarheidsdatabase (NVD) beschrijft het als volgt:

“De All in One SEO Pack-plug-in voor WordPress is kwetsbaar voor cross-site scripts die zijn opgeslagen via verschillende parameters in versies tot en met 4.2.9 vanwege onvoldoende opschoning van invoer en ontsnappingsroute.

Dit maakt het mogelijk voor aanvallers die zijn geverifieerd met een beheerdersrol of een hogere rol om willekeurige webscripts in pagina’s te injecteren die worden uitgevoerd wanneer een gebruiker een geïnjecteerde pagina opent.”

De kwetsbaarheid kreeg een dreigingsniveau van 4,4 (van de tien), wat een gemiddeld niveau is.

Een aanvaller moet eerst beheerdersrechten of hogere rechten verwerven om deze aanval uit te voeren.

CVE-2023-0586

Deze aanval is vergelijkbaar met de eerste. Het belangrijkste verschil is dat een aanvaller ten minste een niveau van toegang tot de website moet aannemen.

Een rol van bijdrager heeft de mogelijkheid om inhoud te maken, maar niet om deze te publiceren.

De kwetsbaarheid is eveneens een gemiddelde dreiging, maar krijgt een hogere kwetsbaarheidsscore van 6,4.

Hier is de beschrijving:

“De All in One SEO Pack-plug-in voor WordPress is kwetsbaar voor cross-site scripts die zijn opgeslagen via verschillende parameters in versies tot en met 4.2.9 vanwege onvoldoende opschoning van invoer en ontsnappingsroute.

Hierdoor kunnen aanvallers die zijn geverifieerd met de rol Contributor+ willekeurige webscripts in pagina’s injecteren die worden uitgevoerd wanneer een gebruiker een geïnjecteerde pagina opent.

Aangeraden actie

De eerste kwetsbaarheid vereist rechten op beheerdersniveau en krijgt een relatief lage gemiddelde dreigingsniveauscore van 4,4.

Maar de tweede kwetsbaarheid vereist slechts een lager privilege-niveau en wordt hoger gewaardeerd met 6,4.

Over het algemeen is het een goed beleid om alle kwetsbare plug-ins bij te werken. Versie 4.3.0 van de AIOSEO-plug-in is degene die de beveiligingsfix bevat, waarnaar in de officiële AIOSEO-changelog wordt verwezen als een extra “beveiligingsverharding”.

Lees de details van de twee kwetsbaarheden:

CVE-2023-0585

CVE-2023-0586

Uitgelichte afbeelding door Shutterstock/Bangun Stock Productions

Source link