Obs: I nästa ämne du kommer att läsa kommer du att lära dig om: Sårbarhet i Google Site Kit WordPress-plugin
En sårbarhet upptäcktes i Google Site Kit WordPress-plugin och har sedan åtgärdats.
Sårbarheten tillåter en angripare att eskalera webbplatsåtkomst och attackera offrets förmåga att söka, ändra webbplatskartan och mer.
WordPress-plugin för Google Site Kit
Sårbarheten påverkar Googles webbplatspaket. Google Site Kit är en Google WordPress.
Google Site Kit visar information om din webbplats på WordPress adminpanel. Mer information från Google Search Console (GSC), Google Analytics, AdSense, PageSpeed Insights och andra Google-verktyg.
WordFence-forskare (@wordfence) upptäckte sårbarheten, meddelade Google och publicerade sedan ett meddelande efter att ha uppdaterat plugin-programmet.
Enligt tillkännagivandet:
“Detta anses vara en kritisk sårbarhet som kan leda till att angripare tar äganderätten till sin Google Search Console-webbplats.
Ägaråtkomst tillåter angripare att ändra webbplatskartor, ta bort sidor från Googles sökmotorresultatsidor eller underlätta SEO-kampanjer med svart hatt.
Google Site Kit är ett WordPress-plugin som visar Google AdSense, Analytics och GSC-data i WordPress-administrationsområdet.
Sårbarhet för eskalering av privilegier
Sårbarheten som påverkar Google Site Kit är en övning i privilegier. Denna typ av exploatering kräver att en angripare är registrerad på en WordPress-webbplats (t.ex. som prenumerant) för att dra fördel av sårbarheten.
Vanligtvis har användare på prenumerationsnivå minimala privilegier på en webbplats. Sårbarheten gör det dock möjligt för angripare att få administratörsbehörigheter på platsnivå för att uppgradera sina åtkomstprivilegier för webbplatsen.
Sårbarheten upptäcktes av WordFence-säkerhetsforskaren Chloe Chamberland den 21 april 2020 och rapporterades till Google samma dag. Google släppte en patch 7 maj 2020
Enligt WordFence sårbarhetsforskare Chloe Chamberland:
Att koppla ihop två system, som en WordPress-sajt och Googles egna webbplatsverktyg, innebär alltid en viss risk. Att säkerställa integration mellan båda systemen är viktigt.
När företag som Google har en säkerhetspolicy för sårbarheter som är lätt att hitta, hjälper det forskare att snabbt åtgärda slutanvändarproblem. Webben är säkrare för alla. “
Prenumeranter på WordFence Premium Security Plugin kommer att skyddas från denna sårbarhet samma dag som den upptäcks, veckor innan Google släpper patchen.
Fortsätt läsa nedan
Berörda versioner av Google Site Kit
Denna sårbarhet påverkar versioner av Google Site Kit lägre än 1.8.0.
Google Sites Kit 1.8.0 har korrigerats helt. Det rekommenderas starkt att användare uppdaterar sina plugins omedelbart.
Ändringsloggen för Google Site Kit WordPress-plugin indikerar version 1.8.0 Den har en säkerhetsuppdatering och rekommenderar starkt att användarna uppdaterar.
Läs det officiella tillkännagivandet:
Sårbarhet i Google WordPress-plugin ger åtkomst till angriparens sökkonsol