یکی از آسیبپذیریها، که امتیاز CVSS 6.4 (متوسط) را دریافت کرد، Wordfence به پاکسازی ناکافی ورودی و خروج خروجی نسبت میدهد. محققان دریافتند که این “این امکان را برای مهاجمان احراز هویت شده با دسترسی در سطح Contributor یا بالاتر فراهم می کند تا اسکریپت های وب دلخواه را در صفحاتی تزریق کنند که هر زمان که کاربر به صفحه تزریق شده دسترسی پیدا کند اجرا می شود.”
متأسفانه، نسخههای آسیبپذیر این افزونه نمیتوانند از عناوین سایت ارسالی، توضیحات متا و سایر عناصر در هنگام ایجاد پست و صفحه و هنگام تغییر تنظیمات افزونه فرار کنند. این امکان را برای کاربرانی که به ویرایشگر پست دسترسی داشتند، مانند مشارکتکنندگان، میداد تا جاوا اسکریپت مخرب را در آن فیلدها وارد کنند، که در مرورگر هر کاربر تأیید شده، مانند مدیر سایت، که چنین پست یا صفحهای را ویرایش میکند، اجرا میشود.
این یک سناریوی محتمل است زیرا پست های نوشته شده توسط مشارکت کنندگان باید قبل از انتشار بررسی و تعدیل شوند.
Wordfence دارد منتشر شده جزئیات دو آسیبپذیری ذخیرهشده XSS که شرکت بهطور مسئولانه در اختیار توسعهدهندگان قرار داده است. افزونه All In One SEO در ژانویه 2023. این آسیبپذیریها به طور بالقوه بیش از 3 میلیون کاربر را در نسخههای 4.2.9 و نسخههای قبلی تحت تأثیر قرار دادند.
All In One SEO هر دو آسیبپذیری را در نسخه 4.3.0 اصلاح کرده است، اما تاکنون تنها 25.5 درصد از پلاگینهای 3+ میلیون کاربر به آخرین نسخه بهروزرسانی شدهاند و تقریباً 3/4 از کاربران افزونه همچنان آسیبپذیر هستند.
لاگ تغییرات این افزونه برای نسخه 4.3.0 شامل یک یادداشت مختصر و مبهم در مورد اصلاح امنیتی است که شامل موارد زیر است: “به روز شده: سخت شدن امنیتی اضافی.” از زمانی که آسیبپذیریها در نسخه 4.3.0 اصلاح شدند، دو نسخه دیگر از این افزونه منتشر شده است.