Uma vulnerabilidade foi descoberta no plug-in WordPress do Google Site Kit e mais tarde foi corrigida.
A vulnerabilidade permite que um invasor amplie os privilégios do site e ataque a visibilidade da pesquisa das vítimas, altere os mapas do site e muito mais.
Plugin do WordPress para o Google Site Kit
A vulnerabilidade afeta o Site Kit do Google. O Google Site Kit é um Google WordPress.
O Google Site Kit exibe informações sobre seu site no painel de administração do WordPress. Adicione informações do Google Search Console (GSC), Google Analytics, AdSense, Page Speed Insights e outras ferramentas do Google.
Os pesquisadores do WordFence (@wordfence) descobriram a vulnerabilidade, notificaram o Google e publicaram um comunicado após atualizar o plug-in.
De acordo com o anúncio:
"Isso é considerado um problema crítico de segurança que pode levar os invasores a obter acesso do proprietário ao site no Google Search Console.
O acesso do proprietário permite que um invasor modifique os sitemaps, remova as páginas das páginas de resultados do mecanismo de pesquisa do Google (SERP) ou facilite as campanhas de SEO da black hat. "
O Google Site Kit é um plug-in do WordPress que exibe os dados do Google AdSense, Analytics e GSC na área de administração do WordPress.
Vulnerabilidade de escalonamento de privilégios
A vulnerabilidade que afeta o Google Site Kit é uma exploração de escalonamento de privilégios. Esse tipo de exploração exige que um invasor seja registrado no site WordPress (por exemplo, como assinante) para aproveitar uma brecha na segurança.
Normalmente, um usuário registrado no nível do assinante possui privilégios mínimos em um site. No entanto, a vulnerabilidade permite que um invasor obtenha privilégios de administrador no nível do site para aumentar seus privilégios de acesso ao site.
A vulnerabilidade foi descoberta pela pesquisadora de segurança do WordFence Chloe Chamberland em 21 de abril de 2020 e relatada ao Google no mesmo dia. O Google lançou um patch em 7 Maio 2020
De acordo com Chloe Chamberland, pesquisadora de vulnerabilidades do WordFence:
“A conexão de dois sistemas, como um site WordPress e as ferramentas de site proprietárias do Google, sempre traz algum grau de risco. Garantir a integração entre os dois sistemas é de vital importância.
Quando empresas como o Google têm uma política de divulgação de vulnerabilidades fácil de encontrar, ela ajuda os pesquisadores a resolver rapidamente os problemas dos usuários finais.Com o amadurecimento do espaço, vemos mais desenvolvedores publicando Políticas de Divulgação de Vulnerabilidades Claras, mas Você precisa fazer mais para garantir que os pesquisadores e desenvolvedores de segurança possam se conectar rapidamente e tornar a Web mais segura para todos. "
Os assinantes do Plug-in de Segurança Premium do WordFence estariam protegidos contra essa vulnerabilidade no mesmo dia em que foi descoberto, semanas antes do lançamento do patch pelo Google.
DE ANÚNCIOS
CONTINUE LENDO ABAIXO
Versões afetadas do Google Site Kit
Esta vulnerabilidade afeta versões do Google Site Kit inferiores à versão 1.8.0.
Google Site Kit 1.8.0 foi completamente corrigido. É altamente recomendável que os usuários atualizem seu plug-in imediatamente.
O registro de alterações do plug-in WordPress do Google Site Kit indica claramente que a versão 1.8.0 Possui uma atualização de segurança e recomenda fortemente que os usuários atualizem.
Leia o anúncio oficial:
Vulnerabilidade no plug-in do Google WordPress concede acesso ao console de pesquisa do invasor
