Après Squirrly SEO, C’est maintenant au tour du plugin WordPress All in One SEO Pack d’être touché par une vulnérabilité jugée très sérieuse.
All in One SEO Pack, une faille avec un score CVSS de 8.8
Ce plugin a été téléchargé plus de 28 millions de fois (mises à jour incluses) en 9 ans d’existence. Il est aujourd’hui actif sur plus d’un million de sites web, ce qui fait de lui une grosse cible potentielle pour des hackers. Aujourd’hui, les versions 2.3.6.1 et antérieures sont sujets à une grosse vulnérabilité de type XSS notée 8.8/10. Un pirate peut lancer une attaque en utilisant un User-Agent HTTP malicieux sur un site dont All In One SEO Pack est actif. L’administrateur, qui visite alors le panneau d’administration, donnera l’accès totale du site à l’attaquant, dès lors qu’il verra « Bad Bot Blocker » dans la page de réglages du plugin.
Cette vulnérabilité est exploitable que si la fonction « Track Blocked Bots » est activée. Heureusement, elle n’est pas activée par défaut. Cela réduit donc fortement le nombre de sites vulnérables. Pour combler cette faille, il est donc recommandé de mettre à jour vers All In One SEO Pack 2.3.7.
Pour les plus curieux d’entre vous, un « proof of concept » est disponible ici.