All In One SEO : deux vulnérabilités XSS stockées corrigées dans la version 4.3.0

Wordfence a publié un rapport sur deux vulnérabilités XSS stockées qui ont été découvertes dans les versions antérieures du plugin All In One SEO. Les vulnérabilités ont été divulguées de manière responsable aux développeurs du plugin en janvier 2023. Selon Wordfence, plus de 3 millions d’utilisateurs du plugin pourraient être concernés.

L’une des vulnérabilités, qui a reçu un score CVSS de 6,4, est due à une vérification insuffisante des entrées et à l’échappement des sorties. Cette faille de sécurité permettrait à des attaquants authentifiés ayant un accès de niveau Contributor ou supérieur d’injecter des scripts Web malveillants dans les pages. La deuxième vulnérabilité, qui nécessite que l’attaquant ait des privilèges de niveau Administrateur, a reçu un score CVSS de 4,4. Les attaquants pourraient exploiter cette faille en insérant du JavaScript malveillant dans les champs des articles, ce qui s’exécuterait dans le navigateur de tout utilisateur authentifié.

All In One SEO a corrigé les deux vulnérabilités dans la version 4.3.0, mais selon Wordfence, seulement 25,5 % des utilisateurs ont effectué la mise à jour. Cela signifie que près de 75 % des utilisateurs du plugin sont toujours vulnérables aux attaques.

Le changelog du plugin pour la version 4.3.0 ne mentionne pas explicitement les corrections de sécurité, se contentant de dire qu’il y a un « renforcement supplémentaire de la sécurité ». Depuis lors, il y a eu deux autres versions du plugin, mais il est recommandé aux utilisateurs de mettre à jour leur plugin dès que possible pour éviter tout risque de piratage.