El complemento Rank Math SEO con más de 2 millones de usuarios parchó recientemente una vulnerabilidad de secuencias de comandos almacenadas entre sitios que permite a los atacantes cargar secuencias de comandos maliciosas y exhalar ataques.
Complemento SEO de clasificación de matemáticas
Rank Math es un complemento SEO popular instalado en más de 2 millones de sitios web. Tiene una increíble variedad de funciones que van desde seguimiento de palabras secreto, integración de datos estructurados de Schema.org, Consola de búsqueda de Google e integración con Analytics, administrador de redireccionamiento y otras características que hacen innecesario el uso de otros complementos para técnico o SEO en la página.
Una característica popular que los usuarios aprecian es que es un complemento modular, lo que significa que los usuarios pueden nominar qué funciones necesitan y desactivar las que no, lo que puede ayudar a que un sitio web funcione aún más rápido.
Muchos recurren a Rank Math como alternativa a Yoast. A comparación entre los dos muestra que Rank Math es más pequeño (61,1 mil líneas de código frente a 97,1 mil líneas de Yoast) y utiliza menos bienes del servidor (+0,35 MB de memoria frente a +1,62 MB de Yoast).
Secuencias de comandos entre sitios almacenados autenticados
Los investigadores de seguridad de Wordfence WordPress han publicado un aviso sobre una vulnerabilidad en el complemento Rank Math SEO que podría provocar una vulnerabilidad de Cross Site Scripting (XSS) almacenada.
Una vulnerabilidad XSS almacenada permite a un atacante cargar scripts maliciosos y atacar navegadores, lo que puede resultar en el robo de cookies de sesión, lo que permite el llegada no facultado a sitios web y compromete datos confidenciales.
Saneamiento insuficiente de las entradas y futuro.
El origen de la vulnerabilidad se debe a una insuficiente higienización de los escapes de entrada y salida. Estas son razones comunes por las que se producen vulnerabilidades XSS en áreas de complementos que permiten a los usuarios cargar o ingresar datos.
Robar los datos de entrada es como filtrar tipos de entrada no deseados, como scripts o HTML, donde solo se esperan entradas de texto. El escape de resultados es un proceso que valida los resultados del sitio web para evitar que resultados no deseados, como scripts maliciosos, lleguen al navegador del sitio web.
Wordfence advirtió:
“El complemento Rank Math SEO con AI SEO Tools para WordPress es desvalido a secuencias de comandos almacenadas entre sitios a través de atributos de liga HowTo en todas las versiones hasta la 1.0.214 inclusive correcto a una desinterés de entrada insuficiente y un escape de salida en los atributos proporcionados por el agraciado.
Esto hace posible que atacantes autenticados, con llegada de nivel de colaborador y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un agraciado acceda a una página inyectada”.
El registro de cambios de puesta al día de Rank Math reconoce responsablemente lo que ha cambiado en su complemento y el motivo de la puesta al día. Esta transparencia permite a los usuarios del complemento comprender la importancia de una puesta al día determinada y tomar una audacia informada sobre la necesidad de la puesta al día.
El registro de cambios identifica la vulnerabilidad parcheada:
“Mejorado: se fortaleció la seguridad del liga HowTo del complemento para evitar una posible explotación por parte de los usuarios con llegada posterior a la impresión. Gracias a [WordFence]
(https://www.wordfence.com/) por divulgarlo de guisa responsable”.
Lea la manifiesto oficial de Wordfence:
Vea igualmente:
Imagen destacada de Shutterstock/Roman Samborskyi