開発者らは、人気の高いオールインワン検索エンジン最適化WordPressプラグインのセキュリティホールを修正した。このツールは約3,000万人のユーザーによってダウンロードされ、100万のサイトで使用されている。
Bot Blocker コンポーネントには欠陥があり、これを悪用されると管理者トークンが盗まれ、クロスサイト スクリプティングの脆弱性を通じてアクションが実行される可能性があります。
この欠陥は、ユーザーが追跡ボット設定を有効にした場合にのみ発生するため、ユーザーはこの欠陥を防ぐためにバージョン 2.3.7 にアップグレードする必要があります。
オランダの研究者 David Vaartjes 氏は、無防備なサイトを悪用する方法を詳述した概念実証コードを投稿した。
同氏によると、攻撃者はリクエスト ヘッダーに悪意のある Javascript を組み込み、追跡対象のボット パネル ページ内に記録して実行し、管理者のセッション トークンを盗み取ることができるという。
「All in One SEO Pack WordPressプラグインのBot Blocker機能には、保存型クロスサイトスクリプティングの脆弱性が存在します」とVaartjes氏は言う。
この問題で特に興味深いのは、匿名ユーザーが不正なユーザーエージェントまたはリファラーヘッダーを使用して公開サイトにアクセスするだけで、管理ダッシュボードに XSS ペイロードを保存できることです。
「「ブロックされたボットを追跡する」設定が [意図的に] 有効になっている場合、ブロックされたリクエストは適切なサニタイズや出力エンコードが行われずにその HTML ページに記録され、XSS が可能になります。」
概念実証XSSデモ
WordPressサイトは攻撃者にとって格好の標的です。多くのエクスプロイトがコアCMSを標的とし、さらに多くのエクスプロイトがWordPressの機能を強化するサードパーティ製プラグインを攻撃するからです。多くの管理者はCMSにもプラグインにもパッチを適用していません。あるいは、CMSにはパッチを適用しても、異なる周期でパッチが適用されるプラグインには適用しないというケースも少なくありません。パッチ適用が見落とされる理由が何であれ、WordPressはコマンド&コントロール(C&C)インフラでエクスプロイトキットや様々なドライブバイダウンロードを拡散させる手段として悪用されることがよくあります。®
