Obs: I nästa ämne du kommer att läsa kommer du att lära dig om: Google Site Kit WordPress-plugin sårbar
En sårbarhet upptäcktes i Google Site Kit WordPress-plugin och har sedan åtgärdats.
Sårbarheten tillåter angripare att eskalera webbplatsprivilegier och attackera offers söksynlighet, ändra webbplatskartor och mer.
WordPress-plugin för Google Site Kit
Sårbarheten påverkar Google Sites Suite. Google Site Kit är en Google WordPress.
Google Site Kit visar information om din webbplats i WordPress adminpanel. Mer information från Google Search Console (GSC), Google Analytics, AdSense, PageSpeed Insights och andra Google-verktyg.
WordFence-forskare (@wordfence) upptäckte sårbarheten, meddelade Google och skickade sedan ett meddelande efter att ha uppdaterat plugin-programmet.
Enligt tillkännagivandet:
“Detta anses vara ett viktigt säkerhetsproblem som kan få angripare att få åtkomst till sin webbplats i Google Search Console.
Ägaråtkomst tillåter angripare att ändra webbplatskartor, ta bort sidor från Googles sökmotorresultatsidor (SERP) eller underlätta SEO-kampanjer med svart hatt. “
Google Site Kit är ett WordPress-plugin som visar Google AdSense, Analytics och GSC-data i WordPress-administrationsområdet.
Sårbarhet för eskalering av privilegier
Sårbarheten som påverkar Google Site Kit är en privilegieupptrappning. Denna typ av exploatering kräver att en angripare är registrerad på en WordPress-webbplats (t.ex. som prenumerant) för att dra fördel av sårbarheten.
Vanligtvis har användare som är registrerade på prenumerationsnivå minimala privilegier på en webbplats. Sårbarheten gör det dock möjligt för angripare att få administratörsbehörigheter på platsnivå för att uppgradera sina åtkomstprivilegier för webbplatsen.
Sårbarheten upptäcktes av WordFence-säkerhetsforskaren Chloe Chamberland den 21 april 2020 och rapporterades till Google samma dag. Google släppte en patch den 7 maj 2020
Enligt WordFence sårbarhetsforskare Chloe Chamberland:
Att ansluta två system, som en WordPress-webbplats och Googles egna webbplatsverktyg, medför alltid en viss risk. Att säkerställa att integrationen mellan båda systemen säkerställs är mycket viktigt.
När företag som Google har en policy för avslöjande av sårbarheter som är lätt att hitta, hjälper det forskare att snabbt åtgärda slutanvändarproblem.
När utrymmet mognar ser vi att fler utvecklare publicerar en mer explicit policy för avslöjande av sårbarhet, men mer måste göras för att säkerställa att säkerhetsforskare och utvecklare kan ansluta snabbt och göra webben säkrare för alla. “
Prenumeranter på WordFence Premium Security Plugin kommer att skyddas från denna sårbarhet samma dag som den upptäcks, veckor innan Google släpper patchen.
ANNONS
FORTSÄTT LÄSA NEDAN
Berörda versioner av Google Site Kit
Denna sårbarhet påverkar Google Site Kit-versioner lägre än 1.8.0.
Google Sites Kit 1.8.0 har korrigerats helt. Det rekommenderas starkt att användare uppdaterar sina plugins omedelbart.
Ändringar av Google Site Kit WordPress-plugin anger att version 1.8.0 Den har en säkerhetsuppdatering och rekommenderar starkt att användarna uppdaterar.
Läs det officiella tillkännagivandet:
Sårbarhet i Google WordPress-plugin ger åtkomst till angriparens sökkonsol
