Google 修补了 Site Kit 插件中的关键漏洞

四月下旬，Wordfence 在 WordPress 的 Google 站点工具包插件中发现了一个严重漏洞，该漏洞将使站点上的任何用户无需验证所有权即可获得对 Google Search Console 的完全访问权限.Google 修补了该漏洞并于 2020 年 5 月 7 日发布了 1.8.0 版本的修复程序.

Wordfence 发布了该漏洞的时间表，将其描述为 proxySetupURL 披露:

为了与 Site Kit 和 Google Search Console 建立第一次连接，该插件会生成一个 proxySetupURL，用于将站点管理员重定向到 Google OAuth 并运行通过代理进行网站所有者验证过程.由于缺少对 admin_enqueue_scripts 操作的能力检查，proxySetupURL 作为管理页面 HTML 源代码的一部分显示给任何访问/wp-admin 仪表板的经过身份验证的用户.

该漏洞的另一个方面与站点所有权验证请求有关，该请求使用了缺少功能检查的注册管理员操作.因此，任何经过身份验证的 WordPress 用户都能够发起请求.

Wordfence 确定了恶意攻击者可能利用此漏洞损害站点排名和声誉的多种方式，包括操纵搜索引擎结果、请求从搜索引擎中删除竞争对手的 URL、修改站点地图、查看性能数据等.

GitHub 上的插件更改日志中没有详细说明安全修复程序.但是，它确实在顶部包含一条说明，"此版本包括安全修复程序.强烈建议更新.”谷歌尚未在插件官方网站的新闻版块发布通知用户的帖子.如果没有 Wordfence 的公开披露，用户可能不知道更新的重要性.

据 WordPress.org 称，Google 的 Site Kit 插件有超过 400,000 次有效安装.管理员中的用户无法获得 1.8.0 更新的详细信息，因为该插件的更改日志托管在 GitHub 上.用户无法在不点击研究的情况下知道更新包含安全修复程序.由于攻击者可以获得大量敏感信息，建议用户尽快更新插件.