Vulnerabilidade do Rank Math afeta milhões de sites! O Rank Math é um plugin popular de SEO instalado em mais de 2 milhões de sites WordPress. Assim, possui uma variedade incrível de funções que incluem rastreamento de palavras-chave, integração de dados estruturados Schema.org, integração com o Google Search Console e Analytics, um gerenciador de redirecionamento e outras características que o tornam desnecessário usar outros plugins para SEO técnico ou on-page.
Uma funcionalidade popular apreciada pelos usuários é que ele é um plugin modular. De tal forma que significa que os usuários podem escolher quais recursos desejam e desativar aqueles que não desejam. Assim, pode ajudar a tornar um site ainda mais rápido.
Muitos recorrem ao Rank Math como alternativa ao Yoast. Uma comparação entre os dois mostra que o Rank Math é menor (61,1 mil linhas de código versus 97,1 mil do Yoast) e consome menos recursos do servidor (+0,35 MB de memória versus +1,62 MB do Yoast).
Cross-Site Scripting Armazenado Autenticado
Pesquisadores de segurança do WordPress do Wordfence publicaram um aviso de uma vulnerabilidade no plugin Rank Math SEO. Vale destacar que pode resultar em uma vulnerabilidade de Cross-Site Scripting (XSS) armazenada.
Uma vulnerabilidade de XSS armazenada permite que um invasor faça upload de scripts maliciosos e ataque navegadores, o que pode resultar no roubo de cookies de sessão. Como resultado, permite o acesso não autorizado ao site e a comprometimento de dados sensíveis.
Insuficiente Sanitização de Entrada e Escape de Saída
A fonte da vulnerabilidade ocorre devido à sanitização de entrada e escape de saída insuficientes. Assim, essas são razões comuns para vulnerabilidades de XSS que ocorrem em áreas de plugins que permitem que os usuários façam upload ou insiram dados.
Sanitizar os dados de entrada é como filtrar tipos indesejados de entrada, como scripts ou HTML, onde apenas se esperam apenas entradas de texto. Além disso, o escape de saída é um processo que valida o que é produzido pelo site para bloquear saídas indesejadas, como scripts maliciosos, de alcançarem um navegador de site.
O Wordfence alertou:
“O plugin Rank Math SEO com Ferramentas de SEO com IA para WordPress é vulnerável a Cross-Site Scripting armazenada via atributos do bloco HowTo em todas as versões até, e incluindo, 1.0.214 devido à sanitização de entrada e escape de saída insuficientes em atributos fornecidos pelo usuário.Isso torna possível para atacantes autenticados, com acesso de nível de contribuidor e acima, injetar scripts da web arbitrários em páginas que serão executados sempre que um usuário acessar uma página injetada.”
O registro de alterações da atualização do Rank Math reconhece de forma responsável o que foi alterado em seu plugin e o motivo da atualização. Essa transparência permite que os usuários do plugin entendam a importância de uma determinada atualização e tomem uma decisão informada sobre a urgência da atualização.
O registro de alterações identifica a vulnerabilidade corrigida:
“Aprimorado: Reforçada a segurança do bloco HowTo do plugin para prevenir possíveis explorações por usuários com acesso à edição de postagens. Obrigado ao [WordFence] (https://www.wordfence.com/) por revelá-lo de forma responsável”
Leia o aviso oficial do Wordfence:
