Google nabízí zdarma plugin pro populární systém Wordpress, který umožňuje administrátorům propojit stránky se službou Search Console. Doplněk ale obsahuje závažnou chybu, kvůli které mohou útočníci získat přístup právě do této služby Googlu.
Plugin s názvem Site Kit Google vydal poměrně nedávno a umožňuje administrátorům snadno propojit svou stránku se službami Googlu. Tou nejhlavnější je právě Search Console sloužící pro získání informací z vyhledávání, umí ale propojit i Analytics, PageSpeed Insights a reklamní AdSense. Není tak divu, že se jedná o populární doplněk – dle oficiálního repozitáře s doplňky má aktuálně více jak 400 000 aktivních instalací.
Aktuální chyba souvisela s elevací oprávnění, kdy útočník mohl získat administrátorská práva právě ve službě Search Console a tím pádem nejen zobrazit údaje o webu, ale i modifikovat sitemapy a další nastavení ve vyhledávání. Plugin obsahoval dvě chyby, které souvisely s úvodním nastavením. Registrovaný uživatel i se základní úrovní (tedy návštěvník, který jinak nemá přístup do administrace vyjma svého profilu) totiž mohl do tohoto procesu vstoupit.
Google aktuálně vydal opravenou verzi, která již kontroluje, zda má uživatel dostatečná oprávnění pro spuštění akce a zároveň upozorní současné administrátory v rámci Search Console, když je přidán nový vlastník. Pokud tedy Site Kit používáte, zamiřte do nastavení svého webu a aktualizujte.
Zdroj: TechRadar
