bookshop14.ruНовости

Уязвимость описана во всем в одном пакете SEO

  1. ОБНОВЛЕНО: Все в одном пакете SEO обновили свой список изменений
  2. Как вы можете видеть, этот новый журнал изменений более актуален в отношении исправления безопасности,...
  3. Уязвимость межсайтового скриптинга
  4. На кого влияет уязвимость «все в одном»?
  5. Как работает уязвимость?
  6. Есть ли патч для уязвимости?
  7. Что вы должны сделать?
  8. Больше ресурсов

В базе данных уязвимостей WPScan сообщается об уязвимости межсайтового скриптинга. Уязвимость была обнаружена компанией-разработчиком программного обеспечения RipsTech 25 октября 2018 года. Неясно, была ли уязвимость исправлена.

ОБНОВЛЕНО:
Все в одном пакете SEO обновили свой список изменений

Спустя некоторое время после публикации этой статьи, все в одном SEO Pack обновили свой список изменений. Теперь в журнале изменений стало яснее, что исправление безопасности было выпущено 6 декабря 2018 года.

Вот твит с 16 декабря 2018 года, отметив, что журнал изменений был обновлен:

В базе данных уязвимостей WPScan сообщается об уязвимости межсайтового скриптинга

Вот скриншот новой версии журнала изменений:

Как вы можете видеть, этот новый журнал изменений более актуален в отношении исправления безопасности, чем оригинальный журнал изменений, приведенный ниже:

В журнале изменений за 6 декабря 2018 года не было исправления уязвимости по состоянию на 11 декабря 2018 года

Журнал изменений - это запись изменений, внесенных в программное обеспечение во время определенного обновления. Когда 6 декабря 2018 года все в одном пакете SEO обновили свое программное обеспечение, там не было упоминания об исправлении уязвимости, как видно на скриншоте выше в журнале изменений на момент написания этой статьи.

Только все в одном пакете SEO может объяснить, почему исправление уязвимости не было упомянуто. Насколько нам известно, кто-то забыл упомянуть об этом тому, кто написал журнал изменений, и это было невинной ошибкой, а не попыткой удержать уязвимость от обнародования.

Я дал издателю плагинов преимущество в том, что они ошибочно не упомянули об уязвимости в журнале изменений. В этой статье правильно сообщалось, что было неизвестно, был ли подключен плагин.

Фактом является то, что исправление уязвимости не было упомянуто в журнале изменений All-One SEO Pack во время написания статьи.

Фактом является то, что в статье правильно отмечалось, что неизвестно, был ли исправлен плагин, основываясь на журнале изменений, который опубликовали все в одном пакете SEO.

Уязвимость межсайтового скриптинга

Уязвимость межсайтового скриптинга (XSS) - это тип уязвимости, который позволяет злоумышленнику вставить код в веб-страницу. Код скомпрометирует веб-страницу и позволяет злоумышленнику получить различные уровни доступа к веб-сайту и / или базе данных веб-сайта.

На кого влияет уязвимость «все в одном»?

Уязвимость All in One SEO Pack затрагивает веб-сайты, на которых включен доступ по крайней мере на уровне участника. Злоумышленник должен сначала получить доступ как минимум к учетной записи уровня участника, чтобы продолжить атаку XSS. Может быть полезно убедиться, что все пароли пользователей от уровня участника и выше являются безопасными.

Как работает уязвимость?

После того, как злоумышленник получит доступ по крайней мере к учетной записи пользователя уровня участника, он может вставить сценарии в сообщения, которые затем будут выполнять различные действия, которые могут еще больше скомпрометировать веб-сайт.

Вот как сайт RipsTech описывает уязвимость:

«Злоумышленник может внедрить произвольный код JavaScript в сообщения, которые он создает и публикует. Если администратор открывает вредоносную запись в блоге, выполняется вредоносный код JavaScript, который ставит под угрозу целевой сервер ».

Есть ли патч для уязвимости?

Обновлено:
В то время, когда эта статья была опубликована, SEO-пакет All in One не упоминал в своем списке изменений, что выпущено обновление для системы безопасности. Только после публикации этой статьи они изменили журнал изменений, чтобы показать, что было выпущено исправление безопасности. Таким образом, теперь, когда все в одном пакете SEO обновили свой список изменений, теперь мы можем с уверенностью сказать, что да, был выпущен патч для уязвимости.

Патч - это обновление программного обеспечения, закрывающее уязвимость. Когда плагин WordPress исправляет уязвимость, они выпускают патч и отмечают его в так называемом журнале изменений .

Журнал изменений - это журнал всех изменений, содержащихся в обновлении плагина WordPress. Перед обновлением рекомендуется просмотреть журнал изменений, поскольку он иногда содержит важную информацию.

Например, некоторые авторы плагинов будут пытаться свести к минимуму, что плагин содержит уязвимость, и не будут формально сообщать своим пользователям, насколько срочно необходимо обновить плагин. Некоторые авторы плагинов ссылаются только на «исправление безопасности» в своем журнале изменений.

Тем не менее, многие авторы плагинов включают объяснение. Так что хорошо прочитать журнал изменений, чтобы понять, что меняется.

По словам компании-разработчика программного обеспечения RipsTech, все в одном SEO Pack не ответили, чтобы подтвердить, что патч был выпущен.

RipsTech сообщает, что поставщик ответил 25 октября 2018 года, что они исследуют уязвимость. Почти месяц спустя, 22 ноября 2018 года, охранная компания снова связалась с поставщиком. По сообщению RipsTech All in One SEO Pack не отправили ответ. Вот скриншот отчета о временной шкале RipsTech:

Вот скриншот отчета о временной шкале RipsTech:

Все в одном наборе SEO хостов список изменений на их сайте здесь ,

Согласно журналу изменений All in One SEO Pack, опубликованному 11 декабря 2018 года, обновлений безопасности не было. Снимок экрана ниже:

ОБНОВЛЕНО
После публикации этой статьи был изменен список изменений SEO-пакета «все в одном», чтобы показать, что был выпущен патч для уязвимости. Вот скриншот нового журнала изменений:

Что вы должны сделать?

Обновлено:
Убедитесь, что ваш SEO-пакет All in One обновлен до последней версии. После публикации этой статьи SEO-пакет All in One обновил журнал изменений, чтобы указать, что 6 декабря 2018 года было выпущено исправление уязвимости.

Чтобы злоумышленник воспользовался этой уязвимостью, он должен взять под контроль учетную запись пользователя с минимальным уровнем участника.

Поэтому может быть полезно сжать все пароли, чтобы убедиться, что ни один из них не может быть легко угадан. Это поможет не дать хакеру угадать пароль.

Если вы еще не используете плагин безопасности WordPress, как Sucuri Security или же WordFence Вы можете рассмотреть возможность использования одного. Подобные плагины безопасности могут замедлить взлом паролей.

Посмотрите оригинальное объявление на RipsTech:
Нажмите на ссылку ниже, чтобы посетить их «Календарь безопасности», затем нажмите номер 4 в верхнем ряду. Это вызовет всплывающее окно со всеми деталями.
https://www.ripstech.com/php-security-calendar-2018/

Прочитайте объявление в базе данных уязвимостей WPScan.
https://wpvulndb.com/vulnerabilities/9159

Больше ресурсов

Изображения от Shutterstock, измененные автором
Скриншоты Автором, Модифицированные Автором

Как работает уязвимость?
Есть ли патч для уязвимости?
Что вы должны сделать?
На кого влияет уязвимость «все в одном»?
Как работает уязвимость?
Есть ли патч для уязвимости?