一個名為All in One SEO的非常流行的WordPress SEO優化插件含有一對安全漏洞，當這些漏洞組合成一個漏洞鏈進行利用時，可能會使網站面臨著被接管的風險。有超過300萬個網站在使用該插件。

據Sucuri的研究人員稱，那些擁有網站賬戶的攻擊者如訂閱者、購物賬戶持有人或會員可以利用這些漏洞，這些漏洞包括一個權限提升漏洞和一個SQL注入漏洞。

研究人員在周三的一篇帖子中說，WordPress網站會默認允許網絡上的任何用戶創建一個賬戶，在默認情況下，新賬戶除了能夠寫評論外沒有任何特權。然而，由于某些漏洞的出現，如剛剛發現的漏洞，則允許這些訂閱用戶擁有比他們原定計劃多得多的特權。

Sucuri表示，這對漏洞已經很成熟了，很容易被利用，所以用戶應該升級到已打補丁的版本，即4.1.5.3版。一般認為是Automattic的安全研究員Marc Montpas發現了這些漏洞。

特權提升和SQL注入漏洞

在這兩個漏洞中更為嚴重的是特權提升漏洞，它影響到All in One SEO的4.0.0和4.1.5.2版本。在CVSS漏洞嚴重程度表上，它的嚴重程度為9.9(滿分10分)，因為它極易被犯罪分子進行利用，而且還可以用來在網絡服務器上建立一個后門。

Sucuri的研究人員解釋說，該漏洞可以簡單地將請求中的一個單字符改為大寫字母而進行利用。

從本質上講，該插件可以向各種REST API端點發送命令，并進行權限檢查，確保沒有人在做越權的事情。然而，REST API路由是大小寫敏感的，所以攻擊者只需要改變一個字符的大小寫就可以繞過認證檢查。

Sucuri研究人員說："當漏洞被利用時，這個漏洞就可以對WordPress文件結構中的某些文件進行覆蓋，從而允許任何攻擊者來對后門進行訪問。從而允許攻擊者接管網站，并可以將賬戶的權限提升為管理員。"

第二個漏洞的嚴重性CVSS評分為7.7，影響All in One SEO的4.1.3.1和4.1.5.2版本。

具體來說，漏洞出現在一個名為"/wp-json/aioseo/v1/objects "的API端點。Sucuri表示，如果攻擊者利用之前的漏洞將他們的權限提升到管理員級別，他們將獲得訪問該端點的權限，并從那里向后端數據庫發送惡意的SQL命令，檢索用戶憑證、管理信息和其他敏感數據。

研究人員說，為確保安全，All in One SEO的用戶應該將軟件及時更新到已打過補丁的版本。其他防御性措施還包括：

1、審查系統中的管理員用戶并刪除任何可疑的用戶。

2、更改所有管理員賬戶的密碼，以及在管理員面板上添加額外的加固措施。

插件成為了黑客的攻擊目標

研究人員指出，WordPress的插件現在仍然是網絡攻擊者破壞網站的一個重要的途徑。例如，12月早些時候，在針對160多萬個WordPress網站的主動攻擊中，研究人員發現有數千萬次嘗試利用四個不同的插件和幾個Epsilon框架主題的攻擊。

研究人員說："WordPress插件仍然是所有網絡應用的一個主要風險，它們仍然是攻擊者的常規攻擊目標。通過第三方插件和框架所引入的惡意代碼可以極大地擴展網站的攻擊面"。

這一警告是在新的漏洞不斷出現的情況下發出的。例如，本月早些時候，安裝在8萬個由WordPress驅動的零售網站上的插件 "Variation Swatches for WooCommerce " 被發現含有一個存儲的跨站腳本(XSS)安全漏洞，它可能會允許網絡攻擊者注入惡意的網絡腳本并接管網站。

10月，研究人員發現，一個安裝量超過6萬的WordPress插件Post Grid存在兩個高危漏洞，這使得網站非常容易被攻擊者接管。而且，在Post Grid的姐妹插件Team Showcase中也發現了幾乎相同的漏洞，該插件有6000個安裝量。

同樣在10月，在Hashthemes Demo Importer的產品中發現了一個WordPress插件漏洞，它允許擁有訂閱者權限的用戶刪除網站的所有內容。

研究人員認為，網站的所有者需要對第三方插件和框架保持警惕，并保持安全更新，他們應該使用網絡應用程序防火墻來保護他們的網站，以及使用可以發現他們網站上存在惡意代碼的解決方案。

本文翻譯自：https://threatpost.com/all-in-one-seo-plugin-bug-threatens-3m-wordpress-websites-takeovers/177240/如若轉載，請注明原文地址。