В плагине «All In One SEO Pack» для Wordpress обнаружено несколько опасных уязвимостей

В плагине « All In One SEO Pack », который используется для SEO-оптимизации сайта на движке Wordpress, обнаружено несколько опасных уязвимостей. Две бреши, согласно данным компании Sucuri, позволяют злоумышленнику получить повышенные привилегии, еще одна является XSS-уязвимостью.

ИБ-эксперты говорят, что обнаруженные уязвимости являются весьма опасными и ставят под угрозу компрометации огромнейшее количество систем, поскольку всего на базе Wordpress работает свыше 73 миллионов web-сайтов, 15 миллионов из которых задействуют плагин «All In One SEO Pack» для SEO-оптимизации.

В Sucuri подчеркивают , что уязвимости повышения привилегий позволяют атакующим добавить и изменить метаинформацию web-сайта, которая может негативным образом повлиять на рейтинг ресурса в поисковой системе.

Эксплуатация XSS-уязвимости, в свою очередь, может привести к выполнению вредоносного кода JavaScript на панели управления администратора. «Это означает, что злоумышленник может внедрить любой код JavaScript и выполнить ряд действий, таких как изменение пароля входа в учетную запись администратора и внедрение бэкдора в файлах», - отмечают специалисты.

Отметим, что бреши могут предоставить злоумышленникам доступ к важным данным, осуществить дефейс ресурса, перенаправить посетителей web-сайта на вредоносную страницу и даже организовать DDoS-атаки. Правда, пока данные о случаях эксплуатации обнаруженных уязвимостей отсутствуют.

Для того чтобы обезопасить свою систему от взлома и компрометации, необходимо обновить плагин «All In One SEO Pack» до версии 2.1.6 .