WordPress的SEO外掛Rank Math含有權限擴張漏洞
駭客能利用舊版Rank Math的安全弱點,變更註冊用戶的管理權限,Rank Math用戶應更新至官方在3月26日釋出的1.0.41.1版本,以完成漏洞修補
專門研究WordPress外掛程式安全性的Wordfence本周揭露,該公司在搜尋引擎最佳化外掛程式Rank Math上發現兩個安全漏洞,較危險的那個將允許駭客任意更新元資料,包括授予或撤銷任何註冊用戶的管理權限,且全球已有超過20萬個WordPress網站安裝了Rank Math。
搜尋引擎最佳化(Search Engine Optimization,SEO)是一種藉由了解搜尋引擎的運作規則,來調整網站以提高網站在搜尋引擎上排名的程序,而Rank Math即是一個支援WordPress網站的SEO外掛程式,可協助網站存取各種SEO工具,全球安裝Rank Math的WordPress網站超過20萬個。
除了第一個權限擴張漏洞之外,另一個存在於Rank Math的漏洞,允許駭客在網站上的任何一個位置建立重新導向,以將使用者導至駭客所指定的任何網站。
Wordfence是在3月23日發現這兩個漏洞,隔天就通知了Rank Math的開發人員,開發人員很快就在3月26日釋出最新的1.0.41.1版本,以修補相關漏洞。Wordfence建議使用者應儘速升級到最新版本。
https://www.ithome.com.tw/news/136733