Populární plugin Al in SEO Pack, který používá více než dva miliony webů, obsahuje vážnou zranitelnost.
Jde o neošetřený vstup při ukládání meta dat, jako je title a description v metaboxu pluginu.
To znamená, že každý, kdo má oprávnění tato pole upravovat, může spustit škodlivý kód, což je i redaktor.
Takže kdokoliv, kdo může přidávat příspěvky, vám může hacknout web.
V případě, že záškodník vyplní do pole pro meta description kód, místo popisu, plugin ho bez sanitizace uloží:
$value = isset( $_POST[ "aiosp_$optionName" ] ) ? $_POST[ "aiosp_$optionName" ] : ''; update_post_meta( $id, "_aioseop_$optionName", $value );
Což je u takového pluginu opravdu průšvih. Každý může udělat chybu, ale tohle je šílená nedbalost. Sanitizace dat by měla být základ, při ukládání hodnot do databáze.
Tím že se neošetřený kód uloží, stačí jej pak vyvolat načtením výpisu postů. Meta title a meta description se vypisují ve výpisu článku v administraci a jenom zobrazení tohoto výpisu se kód spustí.
Pokud máte podezření na to, že vám někdo hacknul web a přestaly se vám zobrazovat meta data pluginu All in SEO Pack v administraci článků, je to pravděpodobně způsobeno touto zranitelností.
Oprava problému byla velmi rychlá, včera vyšla verze 3.6.2, která chybu řeší, ale co si budeme říkat – zranitelných webů zůstane celá řada.