E’ stato riscontrato un problema di sicurezza in All in One SEO Pack, uno dei plugin per Wordpress più utilizzati per ottimizzare il posizionamento organico di un sito web realizzato mediante il noto CMS e installato in oltre un milione di siti internet.
In particolare la vulnerabilità è presente nella funzionalità Bad Bot Blocker, e la falla di sicurezza la si può trovare fino alla versione 2.3.6.1 del plugin.
Nel dettaglio le azioni che si possono effettuare grazie alla vulnerabilità all’interno di uno script Cross-Site sono diverse, ma la più grave è la possibilità di recuperare il token di sessione dell’Amministratore di sistema (un utente con ruolo di Admin nel CMS) e di conseguenza prendere i privilegi per modificare in toto l’intero sito.
Per chiudere la falla di sicurezza è sufficiente aggiornare il plugin All in One SEO alla versione 2.3.7.
Aggiornate All in One #SEO Pack alla versione 2.3.7: falla di sicurezza in Bad Bot Blocker Condividi il Tweet
La falla di sicurezza nel dettaglio
La falla di sicurezza, che possiamo ritrovare nella vulnerabilità di uno script Cross-Site utilizzato per il funzionamento dell’estensione Bad Bot Blocker presente in All in One SEO Pack permette ad un utente anonimo di recuperare il payload XSS del cruscotto di admin visitando il sito web nel suo front-end mediante uno User-Agent particolare o con una intestazione dedicata, quando la funzionalità del Bad Bot viene attivata (condizione non di default nell’installazione del plugin).
Il Bad Bot Blocker di All in One SEO permette di bloccare le visite e la scansione del sito da parte di alcuni bot, rilevati mediante lo User Agent o l’intestazione del referrer e nel dettaglio se lo User Agent ha all’interno stringhe testuali come Exabot, Abonti o Bullseye la visita viene bloccata, restituendo un errore 404, ma la richiesta viene registrata nella pagina HTML senza una adeguata pulizia del codice e permettendo così un attacco XSS.
Per comprendere nel dettaglio il funzionamento del codice malevolo vi rimando ad un interessante articolo, in inglese, che spiega il codice che può venire utilizzato per eseguire degli script nel pannello di amministrazione del sito web.
pino
Nato con la passione per l'informatica da mamma Access e papà ASP nel 2002 rinnego repentinamente la mia paternità facendomi adottare da papà PHP e mamma SQL.
Allevo HTML e correlati fiori in CSS mentre vedo i frutti del mio orticello SEO crescere grazie alla passione e alla dedizione della coltura biodinamica; perchè il biologico è fin troppo artificiale.
Realizzo siti internet a tempo pieno, nei restanti momenti mi occupo di redigere articoli per questo sito e saltuariamente far esperimento nel mare che è internet.
