La base de données nationale des vulnérabilités des États-Unis a publié un avis sur deux vulnérabilités découvertes dans le plugin All In One SEO WordPress.
- .
- Deux vulnérabilités découvertes dans le plugin WordPress All In One SEO
- Les attaques de script intersite (XSS) exploitent les failles et peuvent permettre une prise de contrôle du site
- Action recommandée : mettre à jour la version 4.3.0 du plugin pour corriger ces failles.
Le plug-in All In One SEO (AIOSEO), qui compte plus de trois millions d’installations actives, est vulnérable à deux attaques de script intersite (XSS).
Les vulnérabilités affectent toutes les versions d’AIOSEO jusqu’à la version 4.2.9 incluse.
Script intersite stocké
Les attaques de script intersite (XSS) sont une forme d’exploitation par injection qui implique l’exécution de scripts malveillants dans le navigateur d’un utilisateur, ce qui peut ensuite conduire à l’accès à des cookies, à des sessions utilisateur et même à une prise de contrôle de site.
Les deux formes les plus courantes d’attaques de type « Cross-Site Scripting » sont :
- Script intersite réfléchi
- Script intersite stocké
Un XSS réfléchi repose sur l’envoi d’un script à un utilisateur qui clique dessus, qui se dirige vers le site vulnérable qui « renvoie » ensuite l’attaque à l’utilisateur.
Un XSS stocké se produit lorsque le script malveillant se trouve sur le site vulnérable lui-même.
Les pirates profitent de toute forme d’entrée sur le site Web, comme un formulaire de contact, un formulaire de téléchargement d’images, toute zone où quelqu’un peut télécharger ou faire une soumission.
La vulnérabilité survient lorsque les contrôles de sécurité sont insuffisants pour bloquer les entrées indésirables.
Les deux problèmes affectant le plug-in AIOSEO sont tous deux des vulnérabilités de script intersite stocké.
CVE-2023-0585
Les vulnérabilités sont numérotées pour en garder une trace. Le premier a été attribué, CVE-2023-0585.
Cette vulnérabilité provient d’un échec de nettoyage des entrées. Cela signifie qu’un filtrage insuffisant est effectué pour empêcher un pirate de télécharger un script malveillant.
L’avis de la base de données nationale sur les vulnérabilités (NVD) le décrit comme suit :
« Le plug-in All in One SEO Pack pour WordPress est vulnérable aux scripts intersites stockés via plusieurs paramètres dans les versions jusqu’à 4.2.9 incluses en raison d’une désinfection insuffisante des entrées et de l’échappement des sorties.
Cela permet aux attaquants authentifiés avec un rôle d’administrateur ou supérieur d’injecter des scripts Web arbitraires dans des pages qui s’exécuteront chaque fois qu’un utilisateur accédera à une page injectée.
La vulnérabilité a reçu un niveau de menace de 4,4 (sur dix), qui est un niveau moyen.
Un attaquant doit d’abord acquérir des privilèges d’administrateur ou plus pour perpétrer cette attaque.
CVE-2023-0586
Cette attaque est similaire à la première. La principale différence est qu’un attaquant doit assumer au moins un niveau de privilège d’accès au site Web de contributeur.
Un rôle de niveau contributeur a la capacité de créer du contenu mais pas de le publier.
La vulnérabilité est également une menace de niveau moyen, mais elle se voit attribuer un score de vulnérabilité plus élevé de 6,4.
Voici le descriptif :
« Le plug-in All in One SEO Pack pour WordPress est vulnérable aux scripts intersites stockés via plusieurs paramètres dans les versions jusqu’à 4.2.9 incluses en raison d’une désinfection insuffisante des entrées et de l’échappement des sorties.
Cela permet aux attaquants authentifiés avec le rôle Contributeur + d’injecter des scripts Web arbitraires dans des pages qui s’exécuteront chaque fois qu’un utilisateur accédera à une page injectée.
Action recommandée
La première vulnérabilité nécessite des privilèges de niveau administrateur et se voit attribuer un score de niveau de menace moyen relativement faible de 4,4.
Mais la deuxième vulnérabilité ne nécessite qu’un niveau de privilège inférieur et est notée plus haut à 6,4.
C’est généralement une bonne politique de mettre à jour tous les plugins vulnérables. La version 4.3.0 du plug-in AIOSEO est celle qui contient le correctif de sécurité, désigné dans le journal des modifications AIOSEO officiel comme un « renforcement de la sécurité » supplémentaire.
Lisez les détails des deux vulnérabilités :
CVE-2023-0585
CVE-2023-0586
Image sélectionnée par Shutterstock/Bangun Stock Productions
FAQ
Qu'est-ce que All in one seo nulled ?
All in One SEO Nulled fait référence à une version piratée du plugin SEO pour WordPress, appelé All in One SEO Pack. Cette version n'est pas officielle et est illégale, car elle viole les droits d'auteur du créateur du plugin.
L'utilisation de cette version peut présenter des risques pour la sécurité et la fiabilité de votre site web, car elle peut contenir des codes malveillants. Il est recommandé d'utiliser uniquement la version officielle et payante de All in One SEO Pack pour garantir un bon fonctionnement et une protection optimale de votre site.
Existe-t-il un outil All in one seo ?
Il existe effectivement un outil All in one seo qui est utilisé pour optimiser le référencement d'un site web sur les moteurs de recherche. Cet outil regroupe plusieurs fonctionnalités telles que le choix des mots-clés, la création de balises méta, l'optimisation des images et bien d'autres encore.
Il permet ainsi aux amateurs comme aux professionnels du web de perfectionner leur stratégie SEO en un seul endroit pratique et efficace. Son utilisation peut grandement améliorer la visibilité et le classement d'un site sur les résultats de recherche.
Est-ce qu'All in one seo est gratuit ?
Oui, All in One SEO est un plugin gratuit pour les sites WordPress. Il offre des fonctionnalités de référencement telles que la personnalisation des balises meta, la génération de sitemap et l'optimisation du contenu. Cependant, il existe également une version premium avec des fonctionnalités avancées pour les utilisateurs qui souhaitent aller plus loin dans leur stratégie de référencement.
Y a-t-il une version crack de All in one seo plugin ?
Il est déconseillé de chercher une version crack du plugin All in One SEO, car cela va à l'encontre des droits d'auteur et peut causer des problèmes sur votre site. De plus, les versions crackées ne sont pas fiables et peuvent présenter des risques pour la sécurité de votre site. Il est conseillé d'acheter une licence légale du plugin pour en bénéficier pleinement et sans risque.
Peut-on bénéficier d'un support pour All in one seo ?
Oui, il est possible de bénéficier d'un support pour All in one seo. En effet, cette extension WordPress très complète dispose d'une équipe de support dédiée qui peut répondre à toutes vos questions et vous aider à utiliser au mieux ses fonctionnalités. De plus, il existe également une communauté active d'utilisateurs qui partagent régulièrement leurs astuces et conseils sur l'utilisation de cet outil.
Il ne faut donc pas hésiter à solliciter le support ou consulter les forums pour obtenir une assistance dans l'utilisation de All in one seo.
