All in One SEO обновлен до 2.3.7 для устранения серьезной XSS уязвимости

Semper Fi Web Design, компания, стоящая за выпуском All in One SEO - популярнейшего плагина SEO оптимизации для WordPress, активного на более чем 1 млн. сайтов, выпустила новый патч 2.3.7, исправляющий серьезную XSS уязвимость.

Согласно журналу изменений плагина, в версии 2.3.7 были исправлены проблемы с Реферером и Юзер Агентом модуля Bad Bots. Несмотря на то, что данное изменение не кажется существенным, эта уязвимость могла позволить анонимным пользователям занести вирус в панель администратора WordPress, просто посетив сайт с неправильно сформированным Юзер Агентом или заголовком Реферера.

Данная уязвимость находилась в пределах функциональности Bot Blocker, использующейся для блокировки определенных роботов или поисковых пауков от обхода сайта. Bot Blocker блокирует запросы и возвращает ошибку 404 в том случае, если агент пользователя содержит один из предварительно настроенных списков имен ботов, таких как «Abonti», «Bullseye» или «Exabot». Если опция Track Blocked Bots была включена (не по умолчанию), блокированные запросы регистрировались в этой HTML странице без надлежащей обработки, что позволяло внедрить XSS.

Таким образом, те пользователи, у которых опция Track Blocked Bots была отключена, не подвержены этой уязвимости. Но в любом случае, настоятельно рекомендуется все же обновить плагин до последней версии для защиты от данной уязвимости.