SUCURI מדווחים כי חוקר אבטחה בחברת Automatic Marc Montpas גילה לאחרונה שתי פרצות אבטחה חמורות בתוך אחד מתוספי ה- SEO הפופולריים ביותר שבהם משתמשים בעלי אתרי וורדפרס: All in One SEO. התוסף נמצא בשימוש של משלושה מיליון אתרי וורדפרס ועלול נזקים כבדים למשתמשי וורדפרס שלא יעדכנו את הפלאגין לגירסתו המתוקנת. All in One SEO הוא התוסף המקורי של 'WordPress SEO' שהחל את פעילותו עוד בשנת 2007. אשף ההתקנה של פלאגין AIOSEO עוזר לבעלי אתר וורדפרס לבצע אופטימיזציה של הגדרות ה- SEO בהתאם לצרכי התעשייה הייחודיים של האתר. הפלאגין מאפשר להגדיר את כל התכונות המתקדמות כגון: מפות אתר XML, חיפוש אופטימלי, מטא כותרת SEO, מטא תיאור SEO, מילות מפתח SEO, מידע Open Graph SEO, שילוב מדיה חברתית, כלי מנהלי אתרים, SEO מקומי, סימון סכימה לקידום אתרים ועוד.
שתי פרצות האבטחה דורשות שלתוקף יהיה חשבון באתר, אבל החשבון יכול להיות ברמה נמוכה כמו מנוי. אתרי וורדפרס כברירת מחדל מאפשרים לכל משתמש ליצור חשבון. כברירת מחדל, חשבונות חדשים מדורגים כמנויים ואין להם שום הרשאות מלבד כתיבת הערות. עם זאת, נקודות תורפה מסוימות, כמו אלו שהתגלו זה עתה, מאפשרות למשתמשי המנוי הללו להיות בעלי הרשאות רבות בהרבה ממה שהם נועדו לקבל. כאשר הם מנוצלים במקביל, שתי פרצות האבטחה הללו מאפשרות לתוקף להשתלט על אתר וורדפרס הכולל את פלאגין All in One SEO.
הבעיה הראשונה שנמצאה בפלאגין AIOSEO ניתנת לניצול פשוט על ידי שינוי תו בודד של בקשה לאותיות רישיות. לפלאגין AIOSEO קיימת גישה למספר נקודות קצה של REST API, אך הוא מבצע בדיקת הרשאות לפני ביצוע פקודות כלשהן. הדבר מבטיח שלמשתמש יש הרשאות מתאימות להורות לפלאגין לבצע פקודות. עם זאת, קידום אתרים ב-All in One לא התייחס לעובדה שוורדפרס מתייחסת למסלולי REST API אלו כמחרוזות חסרות רגישות לאותיות גדולות. שינוי תו בודד לאותיות רישיות יעקוף לחלוטין את בדיקות האימות. כאשר מנוצלת, לפגיעות זו יש את היכולת להחליף קבצים מסוימים בתוך מבנה הקבצים של וורדפרס ולמעשה נותנת גישה בדלת אחורית לכל תוקף לצורך השתלטות על האתר והעלאת ההרשאות של חשבונות מנויים לחשבונות מנהלים.
הפגיעות השנייה שהתגלתה כוללת נקודת קצה מסוימת הנמצאת בנתיב: /wp-json/aioseo/v1/objects. נקודת הקצה הזו לא נועדה להיות נגישה לחשבונות ברמה נמוכה. עם זאת, מכיוון שהפגיעות הקודמת שתוארה אפשרה הסלמה של הרשאות, התוקפים יכולים תחילה להעלות את ההרשאות שלהם ולאחר מכן לבצע הזרקות ופקודות SQL כדי להדליף נתונים רגישים ממסד הנתונים, כולל אישורי משתמש ומידע אודות האדמין.
מומלץ לבעלי אתר וורדפרס המשתמש בפלאגין All in One SEO לעדכן לגרסה העדכנית ביותר בהקדם האפשרי! כמו כן, מומלץ לסקור את המשתמשים הרשומים הנוכחים ולהסיר את כל המשתמשים החשודים שאינם מזוהים בוודאות.