Er is een security update voor All-in One SEO uitgerold met patches voor meerdere kwetsbaarheden, die twee weken geleden door het Jetpack Scan team werden ontdekt. Maak jij ook gebruik van de All in One SEO plugin? Dan raden we je aan om onmiddellijk te updaten naar versie 4.1.5.3.
Meerdere kwetsbaarheden
De kwetsbaarheden betreffen een zogeheten SQL Injection kwetsbaarheid en een Privilege Escalation bug. Volgens Marc Montpas, de onderzoeker die ze ontdekte, kan de SQL Injection kwetsbaarheid “aanvallers toegang verschaffen tot gevoelige informatie uit de database van de getroffen site.” Het kan dan gaan om bijvoorbeeld gebruikersnamen en hashed wachtwoorden. De Privilege Escalation bug kan kwaadwillenden toegang geven tot beschermde REST API endpoints. Daaronder valt een bijzonder gevoelig htaccess endpoint, dat het mogelijk maakt om het .htaccess bestand van de site aan te passen. Dat zou onder andere gebruikers die een account met beperkte rechten hebben, zoals abonnees, in staat stellen om remote scripts op de getroffen site uit te voeren. Beide kwetsbaarheden kunnen dus dramatische gevolgen hebben.
Security update voor All in One SEO
De All in One SEO plugin is actief op meer dan 3 miljoen WordPress website. De hierboven genoemde kwetsbaarheden zijn aanwezig in elke versie van de plugin vanaf 4.0.0 tot en met 4.1.5.2. Bij gebruikers van de plugin die automatische updates ingeschakeld hebben, zal de update met de patches inmiddels al geïnstalleerd zijn. Degenen die handmatig moeten updaten krijgen het dringende advies om de plugin zo snel mogelijk naar de meest recente versie te updaten. Op dit moment is dat dus versie 4.1.5.3.
Voor meer informatie over de kwetsbaarheden en de security update voor All in One SEO kun je de blogpost van het Jetpack Scan team raadplegen.