13/07/2016 Wordpress 2724
Problemi di sicurezza in All in One SEO Pack

E’ stato riscontrato un problema di sicurezza in All in One SEO Pack, uno dei plugin per Wordpress più utilizzati per ottimizzare il posizionamento organico di un sito web realizzato mediante il noto CMS e installato in oltre un milione di siti internet.

In particolare la vulnerabilità è presente nella funzionalità Bad Bot Blocker, e la falla di sicurezza la si può trovare fino alla versione 2.3.6.1 del plugin.

Nel dettaglio le azioni che si possono effettuare grazie alla vulnerabilità all’interno di uno script Cross-Site sono diverse, ma la più grave è la possibilità di recuperare il token di sessione dell’Amministratore di sistema (un utente con ruolo di Admin nel CMS) e di conseguenza prendere i privilegi per modificare in toto l’intero sito.

Per chiudere la falla di sicurezza è sufficiente aggiornare il plugin All in One SEO alla versione 2.3.7.

Aggiornate All in One #SEO Pack alla versione 2.3.7: falla di sicurezza in Bad Bot Blocker Condividi il Tweet

La falla di sicurezza nel dettaglio

La falla di sicurezza, che possiamo ritrovare nella vulnerabilità di uno script Cross-Site utilizzato per il funzionamento dell’estensione Bad Bot Blocker presente in All in One SEO Pack permette ad un utente anonimo di recuperare il payload XSS del cruscotto di admin visitando il sito web nel suo front-end mediante uno User-Agent particolare o con una intestazione dedicata, quando la funzionalità del Bad Bot viene attivata (condizione non di default nell’installazione del plugin).

Il Bad Bot Blocker di All in One SEO permette di bloccare le visite e la scansione del sito da parte di alcuni bot, rilevati mediante lo User Agent o l’intestazione del referrer e nel dettaglio se lo User Agent ha all’interno stringhe testuali come Exabot, Abonti o Bullseye la visita viene bloccata, restituendo un errore 404, ma la richiesta viene registrata nella pagina HTML senza una adeguata pulizia del codice e permettendo così un attacco XSS.

Per comprendere nel dettaglio il funzionamento del codice malevolo vi rimando ad un interessante articolo, in inglese, che spiega il codice che può venire utilizzato per eseguire degli script nel pannello di amministrazione del sito web.

pino

Nato con la passione per l'informatica da mamma Access e papà ASP nel 2002 rinnego repentinamente la mia paternità facendomi adottare da papà PHP e mamma SQL.
Allevo HTML e correlati fiori in CSS mentre vedo i frutti del mio orticello SEO crescere grazie alla passione e alla dedizione della coltura biodinamica; perchè il biologico è fin troppo artificiale.
Realizzo siti internet a tempo pieno, nei restanti momenti mi occupo di redigere articoli per questo sito e saltuariamente far esperimento nel mare che è internet.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *


Approfondimenti correlati
Scopri di piùLeggi di piùScopri di più

Audit SEO: automatizzare il controllo del tag title

In occasione del compleanno di posizionamento-seo.com (5 anni di presenza in rete dominio acquistato 14 ottore 2013 ma sito salito…

Scopri di piùLeggi di piùScopri di più

Guida all’ottimizzazione dei link interni

I link interni, ovvero quei link che collegano tra loro le pagine dello stesso sito, costituiscono un elemento molto importante…

Scopri di piùLeggi di piùScopri di più

Yoast, 5 trucchi per migliorare l’ottimizzazione SEO

Da pochissimo è stata rilasciata la nuova versione di Yoast SEO, la 6.2 per l’esattezza, che promette un’analisi della leggibilità…

Scopri di piùLeggi di piùScopri di più

Google Search Console e le schede informative: analisi del markup strutturato

All'interno di Google Search Console mi sembra che recentemente sia stata aggiunta una nuova scheda per l'analisi delle schede informative,…