Сляпая ін'екцыя SQL ўразлівасць была выяўленая сёння ў папулярным WordPress SEO убудова ад Йоаст , WPScanVulnerability базы дадзеных вынес кансультатыўнае пасля таго, як адказна раскрыццё ўразлівасці ў адносінах да аўтара плагіна:
Самая апошняя версія на момант напісання (1.7.3.3) было ўстаноўлена, што ўплыў двух з праверкай сапраўднасці (адміністратара, рэдактара ці аўтара) карыстальніка Blind SQL Injection уразлівасцяў.
Аўтэнтыфікаваных Blind SQL Injection ўразлівасці можна знайсці ў файле «адмін / клас-бэлькі-рэдактар спісу-Table.php». Параметры GET OrderBy і парадку не дастаткова прадэзінфікаваць перад выкарыстаннем ў запыце SQL.
Yoast хутка рэагаваць з патчам і выпусцілі версію 1.7.4 з наступным выпраўленнем бяспекі:
Выпраўленыя магчымыя CSRF і сляпыя уразлівасці ін'екцыі SQL у аб'ёмным рэдактары. Дададзеная строгая санітарнымі order_by і парадку Params. Дададзеныя дадатковыя праверкі Нонс запытаў адпраўкі дадатковых параметраў. Мінімальныя магчымасці, неабходныя для доступу да насыпным рэдактарам цяпер рэдактар. дзякуй Раян Dewhurst ад WPScan для выяўлення і адказнага раскрыцця гэтага пытання.
Неадкладнае абнаўленне раілі
Карыстальнікі, якія працуюць самую апошнюю версію, рэкамендуецца неадкладна абнавіць. Калі вы выкарыстоўваеце Jetpack на ўсе вашы сайты, вы можаце хутка абнавіць іх па адрасе: https://wordpress.com/plugins/wordpress-seo , Там вы ўбачыце ўсе сайты, дзе вы ўсталявалі убудова і можа абнаўляцца з вашай цэнтралізаванай панэлі кіравання.
Хостынгавыя кампаніі узбіраюцца, каб дадаць выпраўленне для абароны кліентаў. Блог статус прэсаванай разаслаў кансультатыўны на уразлівасці і адразу ж абнавіць ўстаноўкі, дзе убудова актыўны:
Нашы сістэмы ўжо пачалі абнаўляць гэты убудова ва ўсіх паўплывалі сайтах нашых сістэм, і мы чакаем, што гэты працэс будзе завершаны ў бліжэйшы час.
SiteGround дадаў часовае рашэнне для прыліву кліентаў больш чым у той жа час, перш чым яны маюць магчымасць абнавіць. Кампанія дадала новыя правілы бяспекі для сваёй WAF (Web Application Firewall), які будзе актыўна фільтраваць любую магчымую ўваходныя спробы ўзлому, якія спрабуюць выкарыстаць гэтую ўразлівасць.
WordPress SEO па Йоаст актыўны на больш за мільён сайтаў. Хаця многія хасты проактивность аб атрыманні абнаўлення убудоў для кліентаў, большасць карыстальнікаў плагіна не змогуць спадзявацца на іх гаспадара, каб клапаціцца пра абнаўленне. Захоўваючы ваш сайт у бяспекі ад уразлівасці так жа лёгка, як увайсці ў сістэму і абнаўленне да апошняй версіі.
Абнаўленне Joost дэ Вок апублікавала абнаўленне Абмяркоўваючы уразлівасці і што фіксавана.