Kwetsbaarheden in Rank Math SEO plugin

rank math seo plugin

Op 23 maart ontdekte het Threat Intelligence Team van Wordfence twee kwetsbaarheden in de Rank Math SEO plugin. Inmiddels heeft de plugin ontwikkelaar een update uitgerold, welke een patch voor beide kwetsbaarheden bevat.

Over de Rank Math SEO plugin

Rank Math SEO is een WordPress plugin met ruim 200.000 actieve installaties. Deze plugin biedt een breed scala aan SEO tools waarmee je de vindbaarheid van je WordPress website kunt optimaliseren. Hierbij kun je denken aan optimalisatie voor een onbeperkt aantal focus keywords, Google Search Console integratie, geavanceerde SEO analyse, geoptimaliseerde breadcrumbs, 404 foutmelding monitoring, interne link suggesties en nog veel meer.

Twee kwetsbaarheden

De meest kritische kwetsbaarheid stelt een niet-geverifieerde aanvaller in staat om arbitraire metadata te updaten. Op die manier kunnen zij ook administratieve privileges voor elke geregistreerde gebruiker op de website toekennen of intrekken. Daardoor lopen dus ook admin gebruikers het risico om ‘buitengesloten’ te worden van hun website. De tweede kwetsbaarheid maakt het voor een niet-geverifieerde aanvaller mogelijk om doorverwijzingen te creëren vanaf vrijwel elke locatie op de website. Op die manier kunnen nietsvermoedende website bezoekers worden doorgestuurd naar malafide websites.

Update met patch

Het Wordfence team nam contact op met de ontwikkelaar van de Rank Math plugin en ontving binnen 24 uur antwoord. De details over de kwetsbaarheid werden privé doorgegeven en op 26 maart kwam de ontwikkelaar met een update. Beide kwetsbaarheden in de Rank Math plugin zijn volledig gepatched in versie 10.0.41. We adviseren gebruikers van de plugin dan ook om meteen te upgraden naar de meest recente versie. Websites die eerdere versies van de plugin draaien, lopen namelijk nog wel risico.

Wordfence firewall regel

Websites die gebruik maken van Wordfence Premium zijn sinds 24 maart beschermd tegen de genoemde kwetsbaarheden middels een nieuwe firewall regel. Gebruikers van de gratis Wordfence versie krijgen op 23 april toegang tot deze firewall regel.

 

Geef een reactie