Posts Recentes:

Google Workspace é turbinado com inteligência artificial

Durante o Next ’24, evento que aconteceu em...

Ai Pin lançado com integração do Google Fotos

A Humane está lançando o Ai Pin, um...

Google Chrome muda a forma de acessar Favoritos, Lista de Leitura e Histórico

Surfando na onda da personalização, o Google Chrome...

Vulnerabilidade do plug-in Rank Math WordPress SEO afeta mais de 2 milhões de sites


O plugin Rank Math SEO com mais de 2 milhões de usuários corrigiu recentemente uma vulnerabilidade de Stored Cross-Site Scripting que permite que invasores carreguem scripts maliciosos e lancem ataques.

Plug-in Rank Math SEO

Rank Math é um plugin de SEO popular instalado em mais de 2 milhões de sites. Possui uma variedade incrível de funções que vão desde rastreamento de palavras-chave, integração de dados estruturados Schema.org, integração com Google Search Console e Analytics, gerenciador de redirecionamento e outros recursos que tornam desnecessário o uso de outros plug-ins para SEO técnico ou na página.

Um recurso popular que os usuários apreciam é que é um plug-in modular, o que significa que os usuários podem escolher quais recursos precisam e desativar aqueles que não precisam, o que pode ajudar a tornar o desempenho de um site ainda mais rápido.

Muitos recorrem ao Rank Math como uma alternativa ao Yoast. Uma comparação entre os dois mostra que o Rank Math é menor (61,1 mil linhas de código versus 97,1 mil linhas do Yoast) e usa menos recursos do servidor (+0,35 MB de memória versus +1,62 MB do Yoast).

Scripting entre sites armazenados autenticados

Os pesquisadores de segurança do Wordfence WordPress publicaram um comunicado sobre uma vulnerabilidade no plugin Rank Math SEO que pode levar a uma vulnerabilidade armazenada de Cross Site Scripting (XSS).

Uma vulnerabilidade XSS armazenada permite que um invasor carregue scripts maliciosos e ataque navegadores, o que pode resultar no roubo de cookies de sessão, o que permite acesso não autorizado a sites e compromete dados confidenciais.

Sanitização de entrada e escape de saída insuficientes

A origem da vulnerabilidade se deve à insuficiente higienização de entrada e escape de saída. Esses são motivos comuns para vulnerabilidades XSS que ocorrem em áreas de plug-ins que permitem aos usuários fazer upload ou inserir dados.

Limpar dados de entrada é como filtrar tipos de entrada indesejados, como scripts ou HTML, onde apenas entradas de texto são esperadas. O escape de saída é um processo que valida a saída do site para impedir que saídas indesejadas, como scripts maliciosos, cheguem ao navegador do site.

Wordfence avisou:

“O plugin Rank Math SEO com AI SEO Tools para WordPress é vulnerável a Stored Cross-Site Scripting por meio dos atributos do bloco HowTo em todas as versões até 1.0.214 inclusive devido à limpeza insuficiente de entrada e escape de saída em atributos fornecidos pelo usuário.

Isso possibilita que invasores autenticados, com acesso de nível de contribuidor e superior, injetem scripts da web arbitrários em páginas que serão executadas sempre que um usuário acessar uma página injetada.”

O changelog de atualização do Rank Math reconhece de forma responsável o que foi alterado em seu plugin e o motivo da atualização. Esta transparência permite que os usuários do plugin compreendam a importância de uma determinada atualização e tomem uma decisão informada quanto à urgência da atualização.

O changelog identifica a vulnerabilidade corrigida:

“Melhorado: Reforçada a segurança do HowTo Block do plugin para evitar exploração potencial por usuários com acesso pós-edição. Graças a [WordFence]
(https://www.wordfence.com/) por revelá-lo de forma responsável”

Leia o comunicado oficial do Wordfence:

Classifique Math SEO com ferramentas AI SEO <= 1.0.214 – Authenticated (Contributor +) Stored Cross-Site Scripting por meio de atributos de bloco HowTo

Imagem em destaque por Shutterstock/Roman Samborskyi

Últimas

Google Workspace é turbinado com inteligência artificial

Durante o Next ’24, evento que aconteceu em...

Ai Pin lançado com integração do Google Fotos

A Humane está lançando o Ai Pin, um...

Google Chrome muda a forma de acessar Favoritos, Lista de Leitura e Histórico

Surfando na onda da personalização, o Google Chrome...

IA da Samsung chegará ao Galaxy S21 e outros modelos em breve

Depois de lançar seus novos recursos de inteligência...

Assine

spot_img

Veja Também

Google Workspace é turbinado com inteligência artificial

Durante o Next ’24, evento que aconteceu em...

Ai Pin lançado com integração do Google Fotos

A Humane está lançando o Ai Pin, um...

Google Chrome muda a forma de acessar Favoritos, Lista de Leitura e Histórico

Surfando na onda da personalização, o Google Chrome...

IA da Samsung chegará ao Galaxy S21 e outros modelos em breve

Depois de lançar seus novos recursos de inteligência...

Gmail prepara ‘Assinaturas’ para dar fim à bagunça na caixa de entrada

Cansado de ter a caixa de entrada do...
spot_img

Google Workspace é turbinado com inteligência artificial

Durante o Next ’24, evento que aconteceu em Las Vegas, Estados Unidos, o Google Workspace trouxe novidades interessantes para quem usa as ferramentas...

Ai Pin lançado com integração do Google Fotos

A Humane está lançando o Ai Pin, um dispositivo vestível que promete ser o seu assistente pessoal discreto e cheio de recursos incríveis....

Google Chrome muda a forma de acessar Favoritos, Lista de Leitura e Histórico

Surfando na onda da personalização, o Google Chrome está mudando a forma como acessamos funções como Favoritos, Lista de Leitura e Histórico....