WordPress presta ancora una volta il fianco a un rischio di sicurezza potenzialmente molto pericoloso, e come al solito l’origine del problema è un plugin vulnerabile usato da un gran numero di utenti. Il vettore di attacco questa volta è All in One SEO Pack, popolare componente aggiuntivo utilizzato per ottimizzare i siti WP.org per l’indicizzazione sui motori di ricerca (SEO).
All in One SEO Pack è un plugin WP storico, un tool in circolazione dal 2007 che già nella sua versione di base (cioè gratuita) offre tutto il necessario a una gestione automatizzata e moderna della parte SEO di un sito WP. Non a caso l’add-on è usato da più di due milioni di installazioni WordPress.org, una popolarità che in caso di problemi di sicurezza gioca totalmente a sfavore di utenti, blogger e amministratori di server remoti.
Il bug individuato dai ricercatori di Wordfence è di tipo XSS (Cross-Site Scripting), ed è classificato con un livello di pericolo “moderato”. Un utente autenticato con livello di accesso “contributor” o superiore potrebbe inserire script (HTML, JavaScript) malevoli nei metadati SEO di un articolo, e All in One SEO Pack procederebbe all’esecuzione del codice sconosciuto senza alcuna “sanificazione” degli input.
I pericoli correlati al bug XSS di All in One SEO Pack includono la compromissione della proprietà di un sito Web, un rischio che riguarda sia i piccoli blog personali che i grandi siti di informazione basati su WordPress. La nuova versione del plugin disponibile da alcuni giorni (3.6.2) risulta priva del bug incriminato, quindi l’aggiornamento è quasi un obbligo. Soprattutto per quei siti che accettano contributi da utenti esterni.