Ta kontakt med oss

NYHETER

WordPress SEOPress Plugin XSS Vulnerability via @sejournal, @martinibuster

Publicerad

Wordfence, a WordPress security software company, published details about a vulnerability in popular WordPress SEO software SEOPress. Before making the announcement, WordFence communicated the details of the vulnerability to the publishers of SEOPress who promptly fixed the issue and published a patch to fix it.

According to WordFence:

“This flaw made it possible for an attacker to inject arbitrary web scripts on a vulnerable site which would execute anytime a user accessed the “All Posts” page.”

The United States government National Vulnerability Database website listed the Wordfence provided CNA (CVE Numbering Authority) rating for the SEOPress vulnerability as a medium level rating and a score of 6.4 on a scale of 1 to 10.

Annons

Fortsätt läsa nedan

The weakness enumeration is categorized as:

“Improper Neutralization of Input During Web Page Generation (‘Cross-site Scripting’)”

The vulnerability affects SEOPress versions 5.0.0 – 5.0.3.

What is the SEOPress Vulnerability?

The official SEOPress changelog didn’t really describe the vulnerability or disclose that there was a vulnerability.

Annons

This isn’t a criticism of SEOPress, I’m just noting that SEOPress described the problem in vague terms:

“INFO Strengthening security (thanks to Wordfence)”

Screenshot of SEOPress Changelog

SEOPress changelog

SEOPress changelog

The issue affecting SEOPress allows any authenticated user, with credentials as low as a subscriber, could update the title and description of any post. Because this input was insecure in that it didn’t properly sanitize this input for scripts and other unintended uploads, an attacker could upload malicious scripts that could then be used as part of a cross site scripting attack.

Annons

Fortsätt läsa nedan

Although this vulnerability is rated as medium by the National Vulnerability Database (possibly because the vulnerability affects sites that allow user registrations such as subscribers), WordFence cautions that an attacker could “easily” take over a vulnerable website under the listed circumstances.

WordFence said this about the cross-site scripting (XSS) vulnerability:

“…cross-site scripting vulnerabilities such as this one can lead to a variety of malicious actions like new administrative account creation, webshell injection, arbitrary redirects, and more.”

Cross Site Scripting (XSS) vulnerabilities attack vectors are typically in areas where someone can input data. Anywhere that someone can enter information, like a contact form, is a potential source of an XSS vulnerability.

Software developers are supposed to “sanitize” the inputs, which means they are supposed to check that what is being input is not something that is unexpected.

Annons

REST API Input Insecure

This particular vulnerability affected the input related to entering title and description of a post. Specifically, it affected what’s known as the WordPress REST API.

The WordPress REST API is an interface that allows WordPress plugins to interact with WordPress.

With the REST API, a plugin can interact with a WordPress site and modify the web pages.

The WordPress documentation describes it like this:

“Using the WordPress REST API you can create a plugin to provide an entirely new admin experiences for WordPress, build a brand new interactive front-end experience, or bring your WordPress content into completely separate applications.”

Annons

Fortsätt läsa nedan

According to WordFence, the SEOPress WordPress REST API endpoint was implemented in an insecure manner in that the plugin did not properly sanitize the inputs through this method.

Citat

WordFence SEOPress Vulnerability Announcement

Annons

National Vulnerability Database entry on the SEOPress Stored Cross-Site-Scripting issue

WordPress REST API Handbook

Searchenginejournal.com

NYHETER

Google December Produktrecensioner Uppdatering påverkar mer än engelska webbplatser? via @sejournal, @martinibuster

Publicerad

Förbi

Googles produktrecensioner uppdatering tillkännagavs att rulla ut till det engelska språket. Inget nämndes om eller när det skulle rullas ut till andra språk. Mueller svarade på en fråga om huruvida det rullar ut till andra språk.

Uppdatering för produktrecensioner från Google december 2021

Den 1 december 2021, Google meddelade på Twitter att en produktrecensionsuppdatering skulle rullas ut som skulle fokusera på engelska webbsidor.

Fokus för uppdateringen var att förbättra kvaliteten på recensioner som visas i Googles sökning, särskilt inriktade på recensionswebbplatser.

En Googler twittrade en beskrivning av de typer av webbplatser som skulle vara inriktade på degradering i sökrankingen:

"Främst relevant för webbplatser som publicerar artiklar som recenserar produkter.

Tänk på sajter som "bästa TV-apparater under $200″.com.

Målet är att förbättra kvaliteten och användbarheten av recensioner som vi visar användare.”

Annons

Annons

Fortsätt läsa nedan

Google publicerade också en blogginlägg med mer vägledning om produktrecensionsuppdateringen som introducerade två nya bästa praxis som Googles algoritm skulle leta efter.

Den första bästa praxisen var ett krav på bevis för att en produkt faktiskt hanterades och granskades.

Den andra bästa praxisen var att tillhandahålla länkar till mer än en plats där en användare kunde köpa produkten.

Tillkännagivandet på Twitter uppgav att det rullade ut till engelska webbsidor. Blogginlägget nämnde inte vilka språk det rullades ut till och inte heller specificerade blogginlägget att uppdateringen av produktrecensionen var begränsad till det engelska språket.

Uppdatering för Googles Mueller Thinking About Produktrecensioner

Screenshot of Google's John Mueller trying to recall if December Product Review Update affects more than the English language

Screenshot of Google's John Mueller trying to recall if December Product Review Update affects more than the English language

Produktrecension Uppdatering inriktad på fler språk?

Personen som ställde frågan hade med rätta intrycket att uppdateringen av produktrecensionen endast påverkade sökresultat på engelska.

Annons

Annons

Fortsätt läsa nedan

Men han påstod att han såg volatilitet i sökningar på det tyska språket som verkar vara relaterat till Googles Produktrecensionsuppdatering december 2021.

Detta är hans fråga:

"Jag såg några rörelser i tyska sök också.

Så jag undrade om det också kunde bli en effekt på webbplatser på andra språk av den här produktrecensionsuppdateringen... eftersom vi hade mycket rörelse och volatilitet under de senaste veckorna.

…Min fråga är, är det möjligt att uppdateringen av produktrecensioner också påverkar andra webbplatser?”

John Mueller svarade:

"Jag vet inte... som andra språk?

Mitt antagande var att detta var globalt och över alla språk.

Men jag vet inte vad vi tillkännagav i blogginlägget specifikt.

Annons

Men vanligtvis försöker vi pressa ingenjörsteamet att fatta ett beslut om det så att vi kan dokumentera det ordentligt i blogginlägget.

Jag vet inte om det hände med uppdateringen av produktrecensioner. Jag kommer inte ihåg hela blogginlägget.

Men det är... ur min synvinkel verkar det som något som vi skulle kunna göra på flera språk och inte skulle vara knutet till engelska.

Och även om det var engelska från början så känns det som något som är relevant över hela linjen, och vi bör försöka hitta sätt att rulla ut det till andra språk med tiden också.

Så jag är inte särskilt förvånad över att man ser förändringar i Tyskland.

Men jag vet inte heller vad vi faktiskt tillkännagav när det gäller de platser och språk som är inblandade.”

Påverkar uppdateringen av produktrecensioner fler språk?

Även om det tweetade tillkännagivandet specificerade att produktrecensioners uppdatering var begränsad till engelska språket nämnde det officiella blogginlägget inga sådana begränsningar.

Googles John Mueller erbjöd sin åsikt att uppdateringen av produktrecensioner är något som Google skulle kunna göra på flera språk.

Annons

Man måste undra om tweeten var tänkt att kommunicera att uppdateringen rullades ut först på engelska och sedan till andra språk.

Det är oklart om uppdateringen av produktrecensioner rullades ut globalt till fler språk. Förhoppningsvis kommer Google att klargöra detta snart.

Citat

Google blogginlägg om produktrecensioner Uppdatering

Uppdatering av produktrecensioner och din webbplats

Googles riktlinjer för nya produktrecensioner

Skriv produktrecensioner av hög kvalitet

John Mueller diskuterar om uppdateringen av produktrecensioner är global

Se Mueller svara på frågan vid 14:00 Minute Mark

[inbäddat innehåll]

Searchenginejournal.com

Fortsätt läsa

MISSA INTE NÅGRA VIKTIGA NYHETER!
Prenumerera på vårt nyhetsbrev
Vi lovar att inte spamma dig. Avsluta prenumerationen när som helst.
Ogiltig e-postadress

Trendigt

Entireweb
sv_SESvenska