Ontwikkelaars hebben een patch ontwikkelt voor een recentelijk ontdekt lek in de All in One SEO Pack plugin. Het lek geeft aanvallers de mogelijkheid om je admin account te kapen.
All in One SEO Pack
All in One SEO Pack is een populaire plugin die door zo’n 30 miljoen WordPress gebruikers is gedownload en op maar liefst een miljoen websites wordt gebruikt. Zoals de naam al aangeeft biedt de plugin allerlei extra functies waarmee je je WordPress site kunt optimaliseren voor zoekmachines. All in One SEO Pack is de enige gratis WordPress plugin die een volledige SEO-integratie voor e-Commerce sites biedt. Geen wonder dat het de meest gedownloade WordPress plugin is.
Lek
Het lek, dat ontdekt werd door deelnemers van het Summer of Pwn (een Nederlandse community van ontwikkelaars die zich bezighouden met het beveiligen van software en het zoeken naar kwetsbaarheden), zit in de zogeheten Bot Blocker functionaliteit van de plugin. Aanvallers kunnen misbruik maken van deze kwetsbaarheid door aangepaste HTTP-headers (verrijkt met malafide JavaScript code) naar de website te sturen waarop de WordPress plugin actief is. Deze code wordt dan toegevoegd aan de HTML-pagina. Admins die vervolgens de pagina openen zorgen er zonder dat ze het weten voor dat JavaScriptcode automatisch wordt uitgevoerd, met alle gevolgen van dien.
Je loopt alleen risico als de Bot Blocker functionaliteit van de All in One SEO Pack plugin is ingeschakeld, iets dat standaard gelukkig niet het geval is.
Patchen of uitschakelen
De maker van de All in One SEO Pack plugin, Semper Fi, heeft inmiddels een patch uitgebracht. WordPress gebruikers die de All in One SEO Pack plugin geïnstalleerd hebben wordt dan ook aangeraden zo snel mogelijk te upgraden naar versie 2.3.7. Gebruikers die niet willen upgraden wordt aangeraden de Track Blocked Bots functionaliteit vooral niet in te schakelen. Patchen verdiend echter altijd de voorkeur.
