Tin tức và phân tích của tất cả các thiết bị di động

Lỗ hổng trong Plugin Google Site Kit WordPress

Một lỗ hổng đã được phát hiện trong plugin Google Site Kit WordPress và sau đó đã được sửa chữa.

Lỗ hổng cho phép kẻ tấn công leo thang quyền truy cập trang web và tấn công khả năng tìm kiếm của nạn nhân, thay đổi sơ đồ trang web và hơn thế nữa.

Plugin WordPress cho Google Site Kit

Lỗ hổng ảnh hưởng đến gói trang web của Google. Google Site Kit là một Google WordPress.

Google Site Kit hiển thị thông tin về trang web của bạn trên bảng quản trị WordPress. Thêm thông tin từ Google Search Console (GSC), Google Analytics, AdSense, Insights tốc độ trang và các công cụ khác của Google.

Các nhà nghiên cứu của WordFence (@wordfence) đã phát hiện ra lỗ hổng, thông báo cho Google và sau đó xuất bản một thông báo sau khi cập nhật plugin.

Theo thông báo:

"Đây được coi là một lỗ hổng nghiêm trọng có thể dẫn đến những kẻ tấn công giành quyền sở hữu trang web Google Search Console của họ.

Quyền truy cập của chủ sở hữu cho phép kẻ tấn công sửa đổi sơ đồ trang web, xóa các trang khỏi các trang kết quả của công cụ tìm kiếm Google hoặc tạo điều kiện cho các chiến dịch SEO mũ đen.

Lỗ hổng trong các gói Google SiteGoogle Site Kit là một plugin WordPress hiển thị dữ liệu Google AdSense, Analytics và GSC trong khu vực quản trị WordPress.

Dễ bị tổn thương cho sự leo thang của các đặc quyền

Lỗ hổng ảnh hưởng đến Google Site Kit là một bài tập về đặc quyền. Kiểu khai thác này yêu cầu kẻ tấn công phải được đăng ký trên trang web WordPress (ví dụ: là người đăng ký) để tận dụng lỗ hổng bảo mật.

Thông thường, người dùng ở cấp độ thuê bao có các đặc quyền tối thiểu trên một trang web. Tuy nhiên, lỗ hổng bảo mật cho phép kẻ tấn công giành được các đặc quyền của quản trị viên cấp trang web để nâng cấp các đặc quyền truy cập trang web của họ.

Lỗ hổng được phát hiện bởi nhà nghiên cứu bảo mật WordFence Chloe Chamberland vào ngày 21 tháng 4 năm 2020 và báo cáo với Google cùng ngày. Google phát hành một bản vá 7 Tháng 5 năm 2020

Theo nhà nghiên cứu lỗ hổng WordFence Chloe Chamberland:

Kết nối hai hệ thống, chẳng hạn như một trang web WordPress và các công cụ trang web riêng của Google, luôn có một số rủi ro. Đảm bảo tích hợp giữa cả hai hệ thống là rất quan trọng.

Khi các công ty như Google có chính sách bảo mật lỗ hổng dễ tìm, nó sẽ giúp các nhà nghiên cứu khắc phục nhanh chóng các sự cố của người dùng cuối. web an toàn hơn cho mọi người. "

Những người đăng ký Plugin WordFence Premium Security sẽ được bảo vệ khỏi lỗ hổng này vào ngày nó được phát hiện, vài tuần trước khi Google phát hành bản vá.

Tiếp tục đọc bên dưới

Các phiên bản bị ảnh hưởng của Google Site Kit

Lỗ hổng này ảnh hưởng đến các phiên bản của Google Site Kit thấp hơn phiên bản 1.8.0.

Bộ trang web Google 1.8.0 nó đã được vá hoàn toàn. Rất khuyến khích người dùng cập nhật plugin của họ ngay lập tức.

Lỗ hổng của plugin Google Site Kit

Nhật ký thay đổi plugin Google Site Kit WordPress chỉ rõ phiên bản 1.8.0 Nó có một bản cập nhật bảo mật và khuyến cáo mạnh mẽ rằng người dùng nên cập nhật.

Đọc thông báo chính thức:

Lỗ hổng trong plugin Google WordPress cung cấp quyền truy cập vào bảng điều khiển tìm kiếm kẻ tấn công

Mục lục