WordPress的SEO插件Rank Math含有权限扩张漏洞

专门研究WordPress插件程序安全性的Wordfence本周披露,该公司在搜索引擎优化插件程序Rank Math上发现两个安全漏洞,较危险的那个将允许黑客任意更新元资料,包括授给或撤销任何注册用户的管理权限,且全球已有超过20万个WordPress网站安装了Rank Math。

搜索引擎优化(Search Engine Optimization,SEO)是一种借由了解搜索引擎的运行规则,来调整网站以提高网站在搜索引擎上排名的程序,而Rank Math即是一个支持WordPress网站的SEO插件程序,可协助网站访问各种SEO工具,全球安装Rank Math的WordPress网站超过20万个。

除了第一个权限扩张漏洞之外,另一个存在于Rank Math的漏洞,允许黑客在网站上的任何一个位置创建重定向,以将用户跳转至黑客所指定的任何网站。

Wordfence是在3月23日发现这两个漏洞,隔天就通知了Rank Math的开发人员,开发人员很快就在3月26日发布最新的1.0.41.1版本,以修补相关漏洞。Wordfence建议用户应尽快升级到最新版本。