All In One SEO最新插件已修补严重的SQL注入漏洞

All In One SEO最新插件已修补严重的SQL注入漏洞插图

All In One SEO插件已经修补了两周前由Jetpack扫描团队发现的一组严重漏洞。12月8日发布的4.1.5.3版本包括对一个SQL注入漏洞和一个特权升级漏洞的修复。这里搬主题也及时分享了All In One SEO插件的最新版本【All in One SEO Pro 4.1.5.3完美汉化中文版|功能强大的WordPress站点专业SEO插件】。

发现这些漏洞的研究人员Marc Montpas解释了这些漏洞如何被利用:

如果被利用,SQL注入漏洞可以让攻击者访问受影响网站数据库中的特权信息(例如,用户名和哈希密码)。

我们发现的特权升级漏洞可能会让不良分子访问他们不应该访问的受保护的REST API端点。这最终可能使拥有低权限账户的用户,如订阅者,能够在受影响的网站上执行远程代码。

通用漏洞评分系统(CVSS)给这些漏洞的可利用性打了高分和关键分。

Montpas解释说,All In One SEO未能保护该插件的REST API端点,允许拥有低权限账户(如订阅者)的用户绕过权限检查,获得对该插件注册的每个端点的访问。这包括一个特别敏感的htaccess端点,它能够用任意内容重写一个网站的.htaccess文件。Montpas说,攻击者可以滥用这一功能,隐藏.htaccess后门,在服务器上执行恶意代码。

All in One SEO活跃在300多万个WordPress网站上,该插件在4.0.0和4.1.5.2之间的每个版本都受到影响,存在漏洞。为次要版本启用自动更新的用户应该已经有了补丁,因为它是在六天前发布的。对于那些手动更新的用户,Jetpack扫描团队建议受影响范围内的用户尽快更新到最新版本。

 收藏 (0) 更新不易,打赏吧

您可以选择一种方式赞助本站

支付宝扫一扫赞助

微信钱包扫描赞助

除特别注明外,本站所有文章均基于CC-BY-NC-SA 4.0原创,转载请注明出处。
文章名称:《All In One SEO最新插件已修补严重的SQL注入漏洞》
文章链接:https://www.banzhuti.com/all-in-one-seo-plugin-patches-severe-vulnerabilities.html
分享到: 生成海报
版权免责声明

① 本站提供的资源(插件或主题)均为网上搜集,如有涉及或侵害到您的版权请立即通知我们。
② 本站所有下载文件,仅用作学习研究使用,请下载后24小时内删除,支持正版,勿用作商业用途。
③ 因代码可变性,不保证兼容所有浏览器、不保证兼容所有版本的WP、不保证兼容您安装的其他插件。
④ 本站保证所提供资源(插件或主题)的完整性,但不含授权许可、帮助文档、XML文件、PSD、后续升级等。
⑤ 由本站提供的资源对您的网站或计算机造成严重后果的本站概不负责。
⑥ 使用该资源(插件或主题)需要用户有一定代码基础知识!另本站提供汉化使用安装教程,仅供参考。
⑦ 有时可能会遇到部分字段无法汉化,同时请保留作者汉化宣传信息,谢谢!
⑧ 本站资源售价只是赞助和汉化辛苦费,收取费用仅维持本站的日常运营所需。
⑨ 如果喜欢本站资源,欢迎捐助本站开通会员享受优惠折扣,谢谢支持!
⑩ 如果网盘地址失效,请在相应资源页面下留言,我们会尽快修复下载地址。

热门文章

评论 抢沙发

评论前必须登录!

立即登录   注册

WordPress主题 插件 建站 汉化

定制服务联系我们
切换注册

登录

点击按钮进行验证

忘记密码

切换登录

注册

我们将发送一封验证邮件至你的邮箱, 请正确填写以完成账号注册和激活