在谷歌官方WordPress插件站点工具包中发现的一个关键漏洞可能允许入侵者访问谷歌搜索控制台到目标站点。

该插件的装机容量为40万，可以用来配置各种谷歌产品，可以提供洞察，比如网络流量、广告收入、网站速度、WordPress的优化等。

谷歌搜索控制台的固定权限升级漏洞被评为严重，因为它不仅可以使黑客访问搜索控制台，还可以修改网站地图或篡改搜索引擎结果页面(SERP)。

漏洞插件

据WordPress的专家介绍，首次连接搜索控制台后，插件会生成proxySetupURL，将Web管理员指引到Google OAuth，通过代理运行认证过程。另一个问题，“验证网站所有权的验证请求是注册管理员操作”，无法验证请求的真实性。研究人员表示，这些缺陷“使订阅者有可能成为任何受影响网站上谷歌搜索控制台的所有者”。

一旦黑客获得谷歌搜索控制台的访问权限，他们就可以通过操纵搜索引擎结果页面、注入恶意代码以获取非法利润以及修改网站地图来运行黑帽SEO广告系列。它还允许未经授权的用户查看竞争表现数据，并从谷歌搜索引擎结果页面中删除网页。

谷歌现在发布了站点工具包插件的补丁版本，增加了检查和验证请求是否已在经过身份验证的合法会话中发送的功能。此外，每当新的所有者添加到控制台时，它都会提醒搜索控制台的所有者提高安全性。

版权说明： 本文版权归原作者所有，转载文章仅为传播更多信息之目的，如作者信息标记有误，请第一时间联系我们修改或删除，多谢。

标签：