esenfrdeitptru

2 millones de usuarios afectados por la vulnerabilidad en el plugin para WordPress “All In One SEO Pack”

EPN-CSIRT-AT-002-2020

Fecha: 19 de Julio de 2020

Resumen:

El 10 de julio de 2020, el equipo de Threat Intelligence descubrió una vulnerabilidad en “All In One SEO Pack”, un plugin de WordPress instalado en más de 2 millones de sitios. Esta falla permitió a los usuarios autenticados con acceso de nivel de colaborador o superior tener la capacidad de inyectar scripts maliciosos que se ejecutarían si una víctima accedía a la página 'all posts' del panel wp-admin.".

El 15 de julio fue lanzado un parche. Por lo que se debe actualizar el plugin de All in One SEO Pack a la versión 3.6.2 o superior.

Referencias:

https://www.wordfence.com/blog/2020/07/2-million-users-affected-by-vulnerability-in-all-in-one-seo-pack/

https://www.theregister.com/2020/07/17/all_in_one_seo_pack_javascript_sanitisation_vuln/