Tom Antony, который уже публиковал информацию об уязвимости sitemap.xml в Google, на этот раз нашел способ встраивать яваскрипт на чужих сайтах и, таким образом, манипулировать поисковым индексом.
Краткая версия
Googlebot рендерит сайты 41й версией хрома (2015), которая не имеет встроенного XSS-аудитора, защищающего пользователей браузера от XSS-атак. В то же время, многие сайты подвержены XSS-атакам, когда с помощью манипулирования адресом страницы можно в код встроить JavaScript.
Так как Google исполняет JavaScript, это позволяет злоумышленникам подстраивать урлы и манипулировать контентом уязвимых сайтов. Например, встраивать ссылки, которые Google будет индексировать и передавать вес.
Том написал об этой уязвимости в Google еще в ноябре 2018, но те так ничего и не предприняли (упоминая сложности внутренней коммуникации), поэтому Том выложил все в паблик, чтобы владельцы сайтов могли защититься от такого рода аттак. Пока у Google нет планов устранять проблему.