Usuários do publicador devem atualizar o plug-in “All in One SEO Pack” assim que possível, aconselha pesquisador de segurança.
Caso você tenha um site WordPress e o amplamente popular plug-in “All in One SEO Pack” instalado, talvez seja uma boa ideia você atualizá-lo assim que possível. A última versão disponível desde sexta-feira (08) repara uma falha que poderia sequestrar a conta de administrador do site.
A vulnerabilidade se encontra no plug-in Bot Blocker e pode ser explorada remotamente ao enviar solicitações HTTP com cabeçalhos criados especificamente para o site.
O recurso foi desenhado para detectar e bloquear bots de spam em seu agente de usuário e se refere a valores de cabeçalho, de acordo com o pesquisador de segurança, David Vaartjes, que encontrou e relatou a falha.
Se o recurso “Track Blocked Bots” estiver habilitado, o plug-in irá logar todas as solicitações que foram bloqueadas e as mostrará em uma página HTML dentro do painel do administrador do site.
Porém, uma vez que o plug-in falha em resolver propriamente as solicitações antes de apresentá-las, hackers poderiam injetar códigos JavaScript maliciosos nos cabeçalhos, permitindo que o código termine como uma parte da página HTML.
A desenvolvedora do "All in One SEO Pack", uma companhia chamada Semper Fi Web Design – liberou a versão 2.3.7 do reparo para vulnerabilidade. Usuários são aconselhados a atualizarem para esta versão assim que possível ou garantir que o recurso Track Blocked Bots está habilitado.
O All in One SEO Pack oferece otimização do motor de busca o que leva a aumentar a visibilidade do site em resultados de busca. De acordo com as estatísticas do repositório de plug-ins do WordPress, trata-se de um plug-in bastante popular, com mais de 1 milhão de instalações ativas.
Tuesday, July 12, 2016