在广泛使用的WordPress插件中修复了严重缺陷

如果您“重新运行WordPress网站，并且您拥有一个SEO Pack插件中的大幅流行，请尽快更新它。最新版本已发布星期五修复了可用于劫持网站的管理帐户的缺陷。

该漏洞处于插件的BOT阻止功能，可以通过将HTTP请求与特定的标题发送到网站来远程利用。

根据安全研究员David Vaartjes，旨在根据其发现和报告的问题，根据安全研究员David Vaartjes，旨在根据其用户代理和引用标题值来检测和阻止垃圾邮件机器人。

如果启用了轨道阻塞机器人设置 - 它不是默认情况下的 - 插件将记录阻止的所有请求，并将在站点的管理面板内的HTML页面上显示它们。

由于插件无法正确消毒在显示之前请求，因为攻击者可以在请求标题中注入恶意JavaScript代码，允许代码结束作为HTML页面的一部分。

这允许持久的跨站点脚本（XSS）攻击，其中每次用户查看日志页面时都会执行流氓码。由于该页面位于管理面板中，因此该用户可能是管理员，并且代码可以窃取其会话令牌。

这些令牌是存储在浏览器中的值，允许网站识别登录用户。通过将这些值放在自己的浏览器中，攻击者可以将网站作为管理员访问，而无需进行身份验证。

Rogue代码也可能强制管理员的浏览器来执行他们没有授权的动作。

全部在一个SEO Pack开发人员 - 一家名为Semper Fi网页设计的公司 - 星期五发布的2.3.7版，以解决此漏洞。建议用户尽快升级到此版本，或者确保他们没有启用轨道阻塞机器人设置。

所有SEO包都提供了大量的搜索引擎优化功能，以提高搜索结果中的网站的可见性。根据WordPress插件存储库的统计信息，它很受欢迎，有超过一百万的活动安装。