SĂ€kerhetsproblem i Google Site Kit WordPress Plugin

En sÄrbarhet upptÀcktes i Google Site Kit WordPress-plugin och korrigerades senare.

SÄrbarheten gör det möjligt för en angripare att eskalera platsbehörigheter och attackera offrens sökbarhet, Àndra webbplatskartor och mer.

WordPress-plugin för Google Site Kit

SÄrbarheten pÄverkar Googles webbplatspaket. Google Site Kit Àr ett Google WordPress.

Google Site Kit visar information om din webbplats pĂ„ WordPress adminpanelen. LĂ€gg till information frĂ„n Google Search Console (GSC), Google Analytics, AdSense, Page Speed ​​Insights och andra Google-verktyg.

WordFence-forskare (@wordfence) upptÀckte sÄrbarheten, meddelade Google och publicerade sedan ett meddelande efter uppdatering av plugin-programmet.

Enligt tillkÀnnagivandet:

"Detta anses vara en kritisk sÀkerhetsproblem som kan leda till att angripare fÄr ÀgarÄtkomst till sin webbplats i Google Search Console.

ÄgartilltrĂ€de tillĂ„ter en angripare att Ă€ndra webbplatskartor, ta bort sidor frĂ„n Googles sökmotors resultatsidor eller underlĂ€tta svart hatt SEO-kampanjer.

SÄrbarhet i Googles webbplatspaketGoogle Site Kit Àr ett WordPress-plugin som visar Google AdSense, Analytics och GSC-data inom WordPress-administrationsomrÄdet.

SÄrbarhet för upptrappning av privilegier

SÄrbarheten som pÄverkar Google Site Kit Àr ett utnyttjande av privilegier. Denna typ av exploatering krÀver att en angripare registreras pÄ WordPress-webbplatsen (till exempel som en abonnent) för att dra fördel av ett sÀkerhetshÄl.

Vanligtvis har en anvÀndare som Àr registrerad pÄ abonnentnivÄ minimala privilegier pÄ en webbplats. SÄrbarheten tillÄter dock en angripare att fÄ administratörsbehörighet pÄ webbplatsnivÄ för att eskalera sina Ätkomstbehörigheter för webbplatsen.

SÄrbarheten upptÀcktes av WordFence sÀkerhetsforskare Chloe Chamberland den 21 april 2020 och rapporterades till Google samma dag. Google slÀppte en patch pÄ 7 Maj 2020

Enligt WordFence sÄrbarhetsforskare Chloe Chamberland:

”Att ansluta tvĂ„ system, som en WordPress-webbplats och Googles egna webbplatsverktyg, innebĂ€r alltid en viss risk. Att garantera integrationen mellan bĂ„da systemen Ă€r av avgörande betydelse.

NÀr företag som Google har en lÀtt att hitta sÀkerhetspolicy för sÄrbarhet hjÀlper det forskare att snabbt fixa slutanvÀndarproblem.
NÀr utrymmet mognar ser vi att fler utvecklare publicerar Clear Vulnerability Disclosure Policy, men mer mÄste göras för att sÀkerstÀlla att sÀkerhetsforskare och utvecklare snabbt kan ansluta och göra webben sÀkrare för alla. "

Prenumeranter pÄ WordFence Premium Security Plugin skulle ha skyddats frÄn denna sÄrbarhet samma dag som den upptÀcktes, veckor innan Google slÀppte korrigeringsfilen.

FortsÀtt att lÀsa nedan

PĂ„verkade versioner av Google Site Kit

Den hÀr sÄrbarheten pÄverkar versioner av Google Site Kit som Àr lÀgre Àn versionen 1.8.0.

Google Site Kit 1.8.0 det har blivit fullstÀndigt lappat. Det rekommenderas starkt att anvÀndare uppdaterar sin plugin omedelbart.

SÄrbarhet för plugin-programmet Google Site Kit

Ändringsloggen för Google Site Kit WordPress-plugin indikerar tydligt att versionen 1.8.0 Den har en sĂ€kerhetsuppdatering och rekommenderar starkt att anvĂ€ndare uppdaterar.

LÀs det officiella tillkÀnnagivandet:

SÄrbarhet i Google WordPress-plugin ger Ätkomst till angriparnas sökkonsol

0 Shares