Вебинар • 28 января 16:00–18:30
Как получать клиентов с онлайн-карт без вложений в рекламу?

Плагин All In One SEO содержал две серьезных уязвимости

4 комментария
Плагин All In One SEO содержал две серьезных уязвимости

По сообщению исследователей из Jetpack, в плагине для WordPress All In One SEO было обнаружено две серьезных уязвимости. Первая позволяла получить доступ к учетным данным, а вторая – запустить удаленное выполнение кода. Обе ошибки уже исправлены.

Одна из ошибок была связана повышением привилегий: пользователь с низким уровнем доступа (например, подписчик) мог получить права администратора, а затем выполнять удаленный код на затронутых сайтах. А вот SQL-уязвимость разрешала злоумышленникам получить доступ к конфиденциальной информации из базы данных ресурса (например, к именам пользователей и хэшированным паролям).

Как считают в Jetpack, проблема заключалась в недостаточной защите конечных точек REST API внутри плагина, из-за чего можно было обойти проверку и получить доступ к ресурсу. 

Плагин All In One SEO – это весьма популярное дополнение, которое установлено на 3 миллионах сайтов. Как сообщает SearchEngineJournal, все версии плагина с 4.0.0 по 4.1.5.2 являются уязвимыми, и команда Jetpack рекомендует оперативно обновиться до исправленной версии – 4.1.5.3.

Новый подкаст от Timeweb

Комментарии

Виктор Юрченко +1
18 дек в 2021
оо
Евгений Кондаков +79
18 дек в 2021
Ставил как-то All In One SEO. Но в итоге остановился на Yoast SEO.
Свернуть ответы
Виктор Юрченко +1
18 дек в 2021
Мне тоже не подошел.
Valdemaras1989 +6
20 дек в 2021
Rank Math еще лучше ) у него больше возможностей по оценке оптимизации, чем у Yoast
Модератор
Пришел кот и стер лапкой этот комментарий
С помощью соцсетей
У меня нет аккаунта Зарегистрироваться
Нажимая кнопку «Зарегистрироваться», я даю согласие на обработку своих персональных данных, указанных в форме регистрации.
С помощью соцсетей
У меня уже есть аккаунт Войти
Нажимая кнопку «Зарегистрироваться», я даю согласие на обработку своих персональных данных, указанных в форме регистрации.
Инструкции по восстановлению пароля высланы на Ваш адрес электронной почты.
Пожалуйста, укажите email вашего аккаунта
Ваш баланс 10 ТК
1 ТК = 1 ₽
О том, как заработать и потратить Таймкарму, читайте в этой статье
Чтобы потратить Таймкарму, зарегистрируйтесь на нашем сайте