Yoast SEO di WordPress: 5 milioni di siti a rischio
Una grave vulnerabilità XSS (Cross-Site Scripting) è stata scoperta nella plugin Yoast SEO per WordPress, mettendo a rischio oltre 5 milioni di siti web.
Il difetto nel plugin Yoast SEO
Il ricercatore di sicurezza Bassem Essam ha scoperto la vulnerabilità XSS e l’ha segnalata tramite il Wordfence Bug Bounty Program. Questa vulnerabilità esiste in tutte le versioni di Yoast SEO fino alla versione 22.5 a causa di una sanitizzazione e escaping insufficienti dell’input.
Conseguenze dell’exploit
Un exploit di successo potrebbe consentire agli attaccanti di creare account amministratore falsi, inserire backdoor nei file di temi e plugin, reindirizzare i visitatori a siti dannosi e ottenere il controllo completo sul sito WordPress vulnerabile. L’exploit richiede il clic di un amministratore su un link dannoso.
Misure immediate
Yoast ha rilasciato una versione patchata, la 22.6, per risolvere la vulnerabilità. Tutti i siti che utilizzano Yoast SEO devono aggiornare immediatamente alla versione 22.6 o successiva.
Protezione aggiuntiva
La società di sicurezza web Wordfence ha aggiunto regole firewall per proteggere i propri utenti da qualsiasi tentativo di sfruttamento di questa vulnerabilità.
Importanza delle best practice di sicurezza
Questo incidente sottolinea l’importanza di mantenere aggiornati i plugin WordPress e del ruolo cruciale dei programmi di premi per la divulgazione responsabile delle vulnerabilità.
Aggiornate subito la vostra plugin Yoast SEO alla versione 22.6 o successiva e seguite le best practice di sicurezza per evitare di cadere vittima di attacchi dannosi.
Fonte: https://cybersecuritynews.com/yoast-seo-plugin-xss-flaw/
