• 17630273926
在一个SEO包中报告了所有漏洞
作者:郑州云优化 / 2019-11-14 20:44 / 浏览次数:
在一个SEO包中报告了所有漏洞
WPScan漏洞数据库报告了一个跨站点脚本漏洞。RipsTech安全软件公司于2018年10月25日发现了此漏洞。目前尚不清楚该漏洞是否已修补。
更新:一站式
SEO包更新了他们的变更日志
本文发布后的某个时间,All in One SEO Pack更新了他们的变更日志。现在,变更日志更加清楚地表明,2018年12月6日发布了安全补丁。 
这是 2018年12月16日的一条推文,指出变更日志已更新:
在一个SEO包中报告了所有漏洞
这是变更日志的新版本的屏幕截图:
All in One SEO Pack中新更改的变更日志的屏幕截图更改日志的屏幕截图,在发布本文后进行了更改,以显示已发布了补丁。
如您所见,与原始变更日志相比,新的变更日志在安全补丁方面更具前瞻性,如下所示:
2018年12月11日拍摄的All in One SEO Pack Changelog的屏幕截图这篇文章于2018年12月11日撰写时是All in One SEO Pack变更日志。此原始变更日志并不表示已为XSS漏洞发布了安全补丁。
截至2018年12月11日,2018年12月6日的变更日志未显示漏洞补丁
变更日志是特定更新时对软件所做的更改的记录。当All in One SEO Pack在2018年12月6日更新其软件时,没有提及漏洞补丁,正如在撰写本文时在变更日志的上方屏幕截图中可以看到的那样。
只有All in One SEO Pack才能解释为什么未提及此漏洞补丁。就我们所知,有人忘了向撰写变更日志的任何人提及它,这是一个无辜的错误,而不是试图阻止该漏洞被公开。
我给插件发布者带来了疑问,即他们错误地忽略了变更日志中的漏洞,从而使他们受益。本文正确地报告了该修补程序是否被修补。
事实是,在撰写本文时,All in One SEO Pack更新日志中未提及该漏洞补丁。
事实上,该文章正确地指出,基于All in One SEO Pack自己发布的变更日志,不知道插件是否已打补丁。
跨站点脚本漏洞
跨站点脚本漏洞(XSS)是一种攻击者,它使攻击者可以将代码插入网页。该代码破坏了网页,并允许攻击者获得对网站和/或网站数据库的各种访问级别。
来自All in One SEO Pack插件的代码的屏幕截图这是RipsTech.com网站的屏幕截图,显示了包含该漏洞的代码行。
一站式SEO软件包中的所有漏洞会影响谁?
“多合一SEO Pack”漏洞影响至少启用了贡献者级别访问权限的网站。攻击者必须首先至少访问贡献者级别的帐户才能进行XSS攻击。确保从贡献者级别开始的所有用户密码都是安全的,这可能很有用。
漏洞如何工作?
一旦攻击者至少可以访问贡献者级别的用户帐户,他们便可以将脚本插入帖子中,然后执行各种操作,这些操作可能进一步危害网站。
RipsTech网站是通过以下方式描述此漏洞的:
“攻击者可以将任意JavaScript代码注入他创建和发布的博客文章中。如果管理员打开恶意博客文章,则会执行恶意的JavaScript代码,从而破坏目标服务器。”
有漏洞修补程序吗?
更新:
在发布本文时,All in One SEO Pack在他们的变更日志中没有提到已发布安全更新。仅在本文发布后,他们才更改变更日志以显示已发布安全补丁。 因此,既然All in One SEO Pack已更新了他们的变更日志,我们现在可以放心地说是的,已经发布了该漏洞的补丁程序。
补丁程序是对软件的更新,可以消除漏洞。当WordPress插件修复了漏洞后,他们会发布补丁程序并在称为changelog的日志中注明。
更新日志是WordPress插件更新中包含的所有更改的日志。最好在更新之前检查变更日志,因为它有时包含重要信息。
例如,某些插件作者将尝试最小化插件包含漏洞,并且不会正式向用户传达更新插件的紧急程度。一些插件作者只会在他们的变更日志中引用“安全修复程序”。
也就是说,许多插件作者都提供了解释。因此,阅读更改日志以了解正在更改的内容是很好的。
根据RipsTech安全软件公司的说法,“多合一SEO软件包”尚未做出回应,确认已发布了补丁。
RipsTech报告称,该供应商于2018年10月25日答复说,他们将调查此漏洞。大约一个月后,即2018年11月22日,安全公司再次与供应商联系。根据RipsTech的介绍,SEO Pack中的所有内容均未发送回复。这是RipsTech时间轴报告的屏幕截图:
一个SEO包中所有漏洞的发现和通知时间线的屏幕截图
SEO Pack中的所有功能都在此处的网站上托管了更改日志。
根据2018年12月11日发布的All in One SEO Pack的变更日志,没有安全更新。屏幕截图如下:
最新更新中的All in One SEO Pack Changelog的屏幕快照这是撰写本文之日截至2018年12月11日的变更日志的屏幕截图。它清楚地表明All in One SEO Pack并不表示已为XSS漏洞发布了安全补丁。零提及补丁。
更新
本文发布后,更改了“多合一SEO包”更改日志,以显示已发布该漏洞的补丁程序。这是新变更日志的屏幕截图:
All in One SEO Pack中新更改的变更日志的屏幕截图更改日志的屏幕截图,在发布本文后进行了更改,以显示已发布了补丁。
你该怎么办?
已更新:
确保您的All in One SEO Pack已更新为最新版本。在本文发布之后,All in One SEO Pack更新了他们的变更日志,以指示漏洞修补程序于2018年12月6日发布。
为了使攻击者能够利用此漏洞,他们必须控制至少具有最低贡献者级别的用户帐户。
因此,加强所有密码以确保不容易被猜中可能很有用。这将有助于防止黑客猜测密码。
如果您尚未使用Sucuri Security或WordFence等WordPress安全插件,则不妨考虑使用一个。这些类型的安全性插件可以减慢密码猜测黑客攻击的速度。
在RipsTech上查看原始公告:
单击下面的链接访问其“安全日历”,然后单击顶行中的数字4。这将弹出带有所有详细信息的弹出窗口。
https://www.ripstech.com/php-security-calendar-2018/
在WPScan漏洞数据库https://wpvulndb.com/vulnerabilities/9159上阅读公告
更多资源
Yoast SEO 9.1漏洞解释
研究表明网络安全直接影响SEO
避免的十大WordPress SEO错误
10个很棒的WordPress SEO插件可以优化您的网站
【郑州云优化】郑州SEO、网站建设、网站设计、服务器空间租售、网站维护、网站托管、网站优化、百度推广、自媒体营销、微信公众号
如有意向---联系我们
热门栏目
热门资讯
热门标签

网站建设 网站托管 成功案例 新闻动态 关于我们 联系我们 服务器空间 加盟合作 网站优化

备案号:ICP备*********号 网站地图/sitemap 

公司地址:河南省郑州市郑州云优化 咨询QQ:1774525808 手机:17630273926 电话:17630273926