Af Eskil Sørensen, 23/08/21
Cybersikkerhedsresearchere har fundet en cross-site scripting-sårbarhed (XSS) i SEOPress, som er et populært plugin til søgemaskineoptimering (SEO). Det skriver Security Newspaper.
Plugin’et giver webmastere mulighed for at administrere SEO-metadata, Google Ads-indstillinger mm.
Sårbarheden har fået id’et CVE-2021-34641, og den muliggør, at enhver godkendt bruger (inklusive abonnenter) kan udføre ondsindede handlinger, herunder kapring af websteder. Cross-site scripting (XSS) er generelt en sårbarhed på en webside, der giver en angriber mulighed for at afvikle programkode på vegne af en anden bruger. Metoden benyttes ofte til at få adgang til andres fortrolige data.
Sårbarheden har en score på 6.4 på CVSS-skalaen. Af sikkerhedsmæssige årsager opfordres brugere med implementeringer af SEOPress til at opgradere til v5.0.4, som er den nyeste version af plugin’et.
Der er pt mere end 100.000 installationer af plugin’et, hvorfor potentielt 100.000 installationer er sårbare.