Δευτέρα, 6 Ιουλίου, 05:13
Αρχική security Google WordPress plugin: Άμεσα update αν δεν θέλετε να "ρίξουν" το site...

Google WordPress plugin: Άμεσα update αν δεν θέλετε να “ρίξουν” το site σας!

Google WordPress plugin: Στο επίσημο WordPress Plugin της Google, με 300.000 ενεργές εγκαταστάσεις, βρέθηκε κρίσιμο bug, το οποίο μπορεί να επιτρέψει σε hackers να αποκτήσουν πρόσβαση κατόχου σε στοχευμένα site του Google Search Console.

To Site Kit, είναι ένα WordPress plugin, σχεδιασμένο από την Google για να παρέχει στους ιδιοκτήτες ιστοσελίδων λεπτομέρειες σχετικά με τον τρόπο που οι επισκέπτες βρήκαν ή χρησιμοποιούν την ιστοσελίδα τους. Αντλεί τις πληροφορίες μέσω επίσημων στατιστικών που συλλέγονται από διάφορα εργαλεία της Google και εμφανίζονται απευθείας στον πίνακα ελέγχου του WordPress.

Google WordPress plugin: Άμεσα update αν δεν θέλετε να "ρίξουν" το site σας!

Επίσης διευκολύνει τη ρύθμιση και διαμόρφωση βασικών εργαλείων της Google όπως τa Search Console, Analytics, Tag Manager, PageSpeed Insights, Optimize, και AdSense.

Google Search Console Privilege Escalation

Η ευπάθεια κλιμάκωσης προνομιών του Google Search Console ανακαλύφθηκε από την ομάδα Wordfence Threat Intelligence, στις 21 Απριλίου και αναφέρθηκε στην ομάδα ασφαλείας της Google την επόμενη ημέρα.

Το bug προκλήθηκε από την αποκάλυψη του proxySetupURL στον πηγαίο κώδικα HTML των σελίδων διαχειριστή. Το URL χρησιμοποιείται για να συνδέσει το Site Kit με το Google Search Console μέσω του Google OAuth.

Η ευπάθεια συνδέθηκε με ένα άλλο πρόβλημα: το αίτημα επαλήθευσης,  που χρησιμοποιείται για την επιβεβαίωση κατοχής μιας ιστοσελίδας ήταν καταχωρημένη πράξη διαχειριστή- δεν επέτρεπε τα requests από έναν πιστοποιημένο χρήστη του WordPress. «Αυτά τα δύο ελαττώματα επέτρεψαν στους χρήστες, επιπέδου συνδρομητών, να γίνουν κάτοχοι του Google Search Console σε κάθε ιστότοπο. Πιο συγκεκριμένα, μπορούν να χρησιμοποιηθούν για να βοηθήσουν έναν ανταγωνιστή ο οποίος θέλει να βλάψει τo ranking και τη φήμη μιας ιστοσελίδας», σύμφωνα με το Wordfence.

Οι τρόποι με τους οποίους μπορούν να χρησιμοποιηθούν προς όφελος των hackers ποικίλουν, με τους παρακάτω να είναι μέσα στη λίστα:

  • Διευκόλυνση εκστρατειών Black Hat Seo μέσω των search engine result pages
  • Εισαγωγή κακόβουλου κώδικα για παράνομη ρευστοποίηση (monetization)
  • Αφαίρεση σελίδων από τις σελίδες αποτελεσμάτων της μηχανής αναζήτησης Google (SERPs)
  • Τροποποίηση sitemaps
  • Προβολή ανταγωνιστικών performance data

Η Google έχει προνοήσει για αυτό το πρόβλημα, και θα ειδοποιεί με αυτόματα μηνύματα τους κατόχους ιστοσελίδων κάθε φορά που προστίθεται ένας νέος κάτοχος στην ιστοσελίδα, ενώ «Οι κάτοχοι δικαιωμάτων μιας ιστοσελίδας μπορούν να αλλάξουν τις ρυθμίσεις που επηρεάζουν την αλληλεπίδραση της αναζήτησης του Google με τον ιστότοπο ή την εφαρμογή».

Σε περίπτωση που το μήνυμα ειδοποίησης έχει αποθηκευτεί στα spam emails, το Wordfence παρέχει οδηγίες για το πώς να επιβεβαιώσετε την ακεραιότητα ιδιοκτησίας του Google Search Console, και να ελέγξετε αν έχει προστεθεί κάποιος κακόβολους διαχειριστής και να τον αφαιρέσετε.

Αυτή η ευπάθεια διορθώθηκε στις 7 Μαΐου, με την κυκλοφορία του Site Kit 1.8.0, αφότου δημοσιεύτηκε το σφάλμα ασφαλείας στο Github Repository στις 4 Μαΐου. Συνίσταται σε όλους τους χρήστες να εγκαταστήσουν την τελευταία έκδοση η οποία είναι πλήρως ενημερωμένη.

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

SecNews
SecNewshttps://www.secnews.gr
In a world without fences and walls, who need Gates and Windows

LIVE NEWS

Το Behave! σας ειδοποιεί για websites που σαρώνουν τον υπολογιστή σας

Μια νέα επέκταση προγράμματος περιήγησης που ονομάζεται Behave! θα σας προειδοποιεί εάν ένα website χρησιμοποιεί script για την εκτέλεση σαρώσεων ή επιθέσεων...

Try2Cry ransomware: Μολύνει μονάδες flash USB

Ένα νέο ransomware γνωστό ως Try2Cry προσπαθεί να "φτάσει" σε άλλους υπολογιστές Windows μολύνοντας μονάδες flash USB, χρησιμοποιώντας συντομεύσεις Windows (αρχεία LNK)...

Bitcoin απάτη προσελκύει άτομα με “δόλωμα” διάσημα πρόσωπα!

Μια bitcoin απάτη πολλαπλών σταδίων εξέθεσε και αξιοποίησε προσωπικά αναγνωρίσιμες πληροφορίες (PII) για να εξαπατήσει χρήστες παρακινώντας τους να εγγραφούν σε μια...

iPhone: Τι να κάνετε για να ενισχύσετε την ασφάλειά σας;

Ένα από τα πιο σημαντικά χαρακτηριστικά του iOS είναι η ασφάλεια. Σπάνια περνάει κάποια κακόβουλη εφαρμογή στο...

COVID-19: Νέα έρευνα αναζητά αντισώματα στους αιμοδότες

H American Red Cross εξετάζει το αίμα που έχει προέλθει από δωρεές, και ψάχνει για αντισώματα του COVID-19 που θα της δώσουν...

Ψηφιακός μετασχηματισμός και επιχειρήσεις: Τι σημαίνει η αποτυχία του;

Ο ψηφιακός μετασχηματισμός αποτελεί συνήθως για τις επιχειρήσεις ένα μέσο για να ξεπεράσουν τους ανταγωνιστές τους και να απαλλαγούν από μεθόδους που...

Covaxin: Η Ινδία κυκλοφορεί εμβόλιο για τον COVID-19 τον Αύγουστο

Ολόκληρος ο πλανήτης αναμένει την κυκλοφορία του εμβολίου για τον κορωνοϊό, ενώ οι κλινικές δοκιμές έχουν ξεκινήσει σε πολλές χώρες του κόσμου....

iOS 13.5.1: Χρήστες iPhone αναφέρουν προβλήματα με τη μπαταρία

Έχετε παρατηρήσει τον τελευταίο καιρό κάποια αλλαγή στο iPhone σας; Μήπως, για παράδειγμα τελειώνει γρήγορα η μπαταρία...

Avaddon ransomware: Επιτίθεται μέσα από τις μακροεντολές του Excel 4.0

Η Microsoft ανακοίνωσε χθες ότι το Avaddon ransomware εξαπλώθηκε αυτήν την εβδομάδα μέσω μιας παλιάς τεχνικής που ξανά ήρθε στο προσκήνιο. Οι...

Apple: Απαγορεύει την ενημέρωση Κινέζικων Apps χωρίς άδεια

Η Apple απαγορεύει στους προγραμματιστές να ενημερώσουν τις υπάρχουσες εφαρμογές του App Store της Κίνας αν δεν έχουν την έγκριση της κυβέρνησης.