漏洞描述

SEO Plugin by Squirrly SEO 是 WordPress 的一款集合 SEO（搜索引擎优化）功能的 WordPress插件。

在 12.1.11 之前版本的 Squirrly SEO 插件汇总存在任意文件上传漏洞，具有贡献者及以上身份的攻击者可利用此漏洞上传任意类型的恶意文件到 WordPress 站点中。如果恶意文件包含后门，则有助于攻击者对 WordPress 站点进一步访问和攻击。

影响范围

SEO Plugin by Squirrly SEO@(-∞, 12.1.11)

修复方案

升级SEO Plugin by Squirrly SEO到 12.1.11 或更高版本

参考链接

https://www.oscs1024.com/hd/MPS-2022-65660

https://patchstack.com/database/vulnerability/squirrly-seo/wordpress-seo-plugin-by-squirrly-seo-plugin-12-1-10-auth-arbitrary-file-upload-vulnerability?_s_id=cve

情报订阅

OSCS(开源软件供应链安全社区)通过最快、最全的方式，发布开源项目最新的安全风险动态，包括开源组件安全漏洞、事件等信息。同时提供漏洞、投毒情报的免费订阅服务，社区用户可通过配置飞书、钉钉、企业微信机器人，及时获得一手情报信息推送：

https://www.oscs1024.com/cm/?src=osc

具体订阅方式详见：

https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc