在Google的官方WordPress插件Site Kit中发现的一个关键漏洞可能允许入侵者访问Google Search Console到目标站点。

该插件具有40万的安装量，可用于配置各种Google产品，这些产品可提供洞察力，例如网络流量，广告收入，网站速度以及对WordPress的优化。

现已修复的Google Search Console特权升级漏洞被评为严重，因为它不仅可以使黑客访问Search Console，而且可以修改站点地图或篡改搜索引擎结果页面(SERP)。

漏洞插件

据Wordfence的专家介绍，在首次与Search Console连接后，该插件会生成proxySetupURL，该URL将Web管理员定向到Google OAuth，以利用代理运行验证过程。另一个“用于验证网站所有权的验证请求是已注册的管理员操作”的问题无法验证该请求的真实性。这些缺陷加在一起“使订户级用户有可能在任何受影响的网站上成为Google Search Console所有者，研究人员说。

一旦黑客获得了Google Search Console的访问权限，他们就可以通过操纵搜索引擎结果页，注入恶意代码进行非法获利以及修改站点地图来运行黑帽SEO广告系列。它还允许未经授权的访问以查看竞争绩效数据以及从Google搜索引擎结果页中删除网页。

Google现在通过添加功能检查和验证请求是否已在经过身份验证的合法会话中发送的功能，发布了Site Kit插件的补丁版本。此外，无论何时将新所有者添加到控制台中，它都会向Search Console所有者发出警报，以提高安全性。