Σημαντικές ευπάθειες στο All in One SEO Plugin επιτρέπουν την αλλαγή απλού χρήστη σε διαχειριστή
Κίνδυνος ασφάλειας: Υψηλός Επίπεδο εκμετάλλευσης: Εύκολο Βαθμολογία CVSS: 9,9 / 7,7 Ευπάθεια: Privilege Escalation, SQL Injection Διορθώθηκε στην έκδοση : 4.1.5.3
Την περασμένη εβδομάδα, ένας ερευνητής ασφάλειας στην Automattic, ο Marc Montpas ανακάλυψε δύο σοβαρές ευπάθειες σε ένα από τα πιο δημοφιλή πρόσθετα SEO που χρησιμοποιούνται σε ιστοσελίδες βασισμένες στο WordPress. Στο All in One SEO.
Οι λεπτομέρειες
Και οι 2 ευπάθειες για να χρησιμοποιηθούν απαιτούν ο επιτιθέμενος χρήστης να έχει λογαριασμό (user account) στην ευπαθή ιστοσελίδα. Ο λογαριασμός αρκεί να είναι “συνδρομητής”. Το χαμηλότερο επίπεδο χρήστη που υποστηρίζει το WordPress.
Απο κατασκευής οι ιστοσελίδες βασισμένες σε wordpress επιτρέπουν την δημιουργία λογαριασμού χρήστη, αλλά δεν έχουν άλλα προνόμια, παρά μόνο να μπορούν να αφήσουν σχόλιο σε κάποιο άρθρο.
Ωστόσο, οι ευπάθειες που ανακαλύφθηκαν, επιτρέπουν σε αυτούς τους απλούς “συνδρομητές” να μπορέσουν να αποκτήσουν παραπάνω προνόμια (privileges) και συνδιάζοντας και τις 2 ευπάθειες ο επιτιθέμενος κακόβουλος χρήστης, να πάρει πλήρη διαχείριση μιας wordpress ιστοσελίδας.
– Authenticated Privilege Escalation
Στην πρώτη αυτή ευπάθεια, ένας κακόβουλος χρήστης, αλλάζοντας έναν και μόνο χαρακτήρα μπορεί ενός request από μικρό γράμμα σε μεγάλο.
Τα rest api endpoints θεωρούνται case-sensitive αλλά το all in one seo δεν το λαμβάνει υπόψιν και έτσι με την αλλαγή ενός χαρακτήρα μπορεί να αποκτήσει δικαιώματα διαχειριστή σε μια wordpress σελίδα.
– Authenticated SQL Injection
Η δεύτερη ευπάθεια εντοπίζεται στις εκδόσεις 4.1.3.1 και 4.1.5.2 του plugin.
Υπάρχει ένα συγκεκριμένο endpoint στο παρακάτω url
/wp-json/aioseo/v1/objects
To συγκεκριμένο endpoint, υπο κανονικές συνθήκες, δεν είναι διαθέσιμο σε low lever user.
Καθώς όμως ταυτόχρονα υπάρχει και η πρώτη ευπάθεια που περιγράψαμε παραπάνω, ο επιτιθέμενος, θα εκμεταλευτεί πρώτα το γεγονός ότι μπορεί να πάρει δικαιώματα διαχειριστή και μετέπειτα θα εκτελέσει διάφορες sql εντολές για να εξάγει δεδομένα από την βάση δεδομένων, όπως πχ στοιχεία πρόσβασης χρήστη, email διευθύνσεις, πληροφορίες του διαχειριστή της ιστοσελίδας και άλλα.
All In One SEO Plugin Update
Λόγω της σοβαρότητας των δύο αυτών ευπαθειών, πήραμε την απόφαση να εκτελέσουμε μαζικά την αναβάθμιση των plugins που διαθέτουν τις συγκεκριμένες εκδόσεις για όλες τις υπηρεσίες φιλοξενίας.
Managed Hosting – Shared Hosting – Reseller Hosting
Δεν αναμένεται να επηρεάσει την λειτουργία της ιστοσελίδας σας, επιβάλλεται όμως να γίνει ένας συνολικός έλεγχος των plugins και να ολοκληρώσετε τα όποια updates υπάρχουν διαθέσιμα.
Credits
Security researcher : Marc Montpas
Jetpack Report : https://jetpack.com/2021/12/14/severe-vulnerabilities-fixed-in-all-in-one-seo-plugin-version-4-1-5-3/
