2 millones de usuarios afectados por la vulnerabilidad en el plugin para WordPress “All In One SEO Pack”
EPN-CSIRT-AT-002-2020
Fecha: 19 de Julio de 2020
Resumen:
El 10 de julio de 2020, el equipo de Threat Intelligence descubrió una vulnerabilidad en “All In One SEO Pack”, un plugin de WordPress instalado en más de 2 millones de sitios. Esta falla permitió a los usuarios autenticados con acceso de nivel de colaborador o superior tener la capacidad de inyectar scripts maliciosos que se ejecutarían si una víctima accedía a la página 'all posts' del panel wp-admin.".
El 15 de julio fue lanzado un parche. Por lo que se debe actualizar el plugin de All in One SEO Pack a la versión 3.6.2 o superior.
Referencias:
https://www.theregister.com/2020/07/17/all_in_one_seo_pack_javascript_sanitisation_vuln/