Уязвимость слепого внедрения SQL-кода обнаружена в плагине WordPress SEO от Yoast: рекомендуется немедленное обновление

  1. Рекомендуется немедленное обновление

Сегодня в популярной   WordPress SEO плагин от Yoast   ,  База данных WPScanVulnerability   выпустил консультативный   после ответственного раскрытия уязвимости автору плагина:   Было обнаружено, что в последней версии на момент написания статьи (1

Сегодня в популярной WordPress SEO плагин от Yoast , База данных WPScanVulnerability выпустил консультативный после ответственного раскрытия уязвимости автору плагина:

Было обнаружено, что в последней версии на момент написания статьи (1.7.3.3) были обнаружены две уязвимости, связанные с проверкой подлинности (администратор, редактор или автор): слепая инъекция SQL.

Аутентифицированную уязвимость Blind SQL Injection можно найти в файле «admin / class-bulk-editor-list-table.php». Параметры orderby и order GET недостаточно очищены перед использованием в запросе SQL.

Yoast быстро отреагировал исправлением и выпустил версию 1.7.4 со следующим исправлением безопасности:

Исправлены возможные уязвимости CSRF и слепого внедрения SQL в массовом редакторе. Добавлена ​​строгая санитария для order_by и параметров заказа. Добавлены дополнительные проверки одноразовости для запросов, отправляющих дополнительные параметры. Минимальная возможность, необходимая для доступа к редактору, теперь Редактор. Спасибо Райан Дьюхерст от WPScan за обнаружение и ответственное раскрытие этой проблемы.

Рекомендуется немедленное обновление

Пользователям, использующим самую последнюю версию, рекомендуется выполнить обновление немедленно. Если вы используете Jetpack на всех своих сайтах, вы можете быстро обновить их, посетив: https://wordpress.com/plugins/wordpress-seo , Там вы увидите все сайты, на которых установлен плагин, и сможете обновлять их с вашей централизованной панели инструментов.

Хостинговые компании пытаются добавить исправление для защиты клиентов. Блог статуса Pressable разослал консультативный на уязвимость и немедленно обновляет установки, где плагин активен:

Наши системы уже начали обновлять этот плагин для всех уязвимых сайтов в наших системах, и мы ожидаем, что этот процесс будет завершен в ближайшее время.

SiteGround добавил временное исправление тем временем опередить клиентов, прежде чем они получат возможность обновиться. Компания добавила новые правила безопасности в свой WAF (брандмауэр веб-приложений), который будет активно фильтровать любые возможные входящие попытки взлома, которые пытаются использовать уязвимость.

WordPress SEO от Yoast активен на более чем одном миллионе сайтов. В то время как многие хосты проактивно получают обновления плагинов для клиентов, большинство пользователей плагина не смогут полагаться на свой хост, чтобы заботиться об обновлении. Чтобы обезопасить свой сайт от этой уязвимости, достаточно просто войти в систему и обновить ее до последней версии.

Обновление Joost de Valk опубликовал обновление обсуждение уязвимостей и что исправлено.

связанные с

© Частный пансионат "Фортуна"  2013
Разработка сайта:   WEB-студия “KPORT”
При создании сайта использованы фото проекта peschanoe.net