Команда Wordfence опубликовала подробности двух сохраненных XSS-уязвимостей, которые компания со всей ответственностью раскрыла разработчикам плагина All In One SEO в январе 2023 года. Уязвимости потенциально затрагивали более 3 миллионов пользователей плагина с версий 4.2.9 и более ранних.
Одну из уязвимостей, получившую оценку 6.4 (Medium) по стандарту CVSS, Wordfence объясняет недостаточной санацией ввода и экранированием вывода. По их мнению, это «позволяет авторизованным злоумышленникам с доступом уровня Contributor или выше внедрять произвольные веб-скрипты в страницы, которые будут выполняться всякий раз, когда пользователь заходит на вредоностную страницу».
Вторая уязвимость получила оценку 4.4 (Medium) по стандарту CVSS и требует от авторизованного злоумышленника права уровня администратор. Wordfence описала, как злоумышленники могут использовать эти уязвимости:
К сожалению, уязвимые версии этого плагина не позволяют избежать отправки заголовков сайта, мета-описаний и других элементов во время создания постов и страниц, а также при изменении настроек плагина. Это дает возможность пользователям с доступом «редактор», например, авторам, вставлять в эти поля вредоносный JavaScript, который будет выполняться в браузере любого авторизованного пользователя, например, администратора сайта, редактирующего такой пост или страницу.
Это вполне вероятный сценарий, поскольку посты, написанные авторами, должны быть проверены и отмодерированы перед публикацией.
All In One SEO исправил обе уязвимости в версии 4.3.0, но пока только 25,5% из 3+ миллионов пользователей плагина обновились до последней версии, в результате чего около 3/4 пользователей плагина остаются уязвимыми.
