老部落
我们在登录WordPress网站后台的时候看到有官方的文章推荐,其中一条引起我们的注意就是All in One SEO Pack插件存在XSS安全问题,我们要知道这款插件使用量还是很大的,是比较多用户的SEO软件之一。具体的安全问题我们可以在wptavern网站看到具体的解释,总之是有安全问题,如果被利用会被修改标题。
我们把原文翻译过来:
WordPress.org的数据显示,本周所有的All in One SEO Pack补丁修复了一个XSS漏洞,该漏洞已由Wordfence的安全研究人员于7月10日发现。该流行的插件具有200万活跃安装量。
Wordfence研究人员将其归类为“中等严重性安全问题”,它可能导致“完整的站点接管和其他严重后果:”
此漏洞使具有贡献者级别访问权限或更高权限的经过身份验证的用户能够注入恶意脚本,如果受害者访问wp-admin面板的“所有帖子”页面,该恶意脚本将被执行。
2020年7月15日发布的版本3.6.2在更改日志中包含以下更新:“改进了SEO元字段的输出+添加了额外的清理措施以加强安全性。”
强烈建议All in One SEO Pack中的所有用户更新到最新版本。发布时,该插件的用户群中只有12%运行的是3.6.x版,其中包括三个最新版本。这使超过170万次安装(占插件用户的88%)容易受到攻击。
许多用户没有足够频繁地登录其WordPress网站以及时了解安全更新。插件作者通常不会在其网站或社交媒体上宣传此更新的重要性。 WordPress 5.5应该帮助缓解这种情况,因为它在仪表板中引入了管理控件,允许用户启用主题和插件的自动更新。
那我们还等什么呢?如果我们有在使用All in One SEO Pack插件的必须从WordPress下载最新版本替换升级或者是直接我们在线升级最新版本。
