Si no es el más famoso, se puede decir sin ningún problema que es uno de los más conocidos. Todo parece indicar que el complemento para blogs de WordPress All in One SEO Pack está afectado por varios problemas de seguridad que ponen en peligro la integridad de un sitio web, permitiendo escalar permisos a terceras personas.
Sin lugar a dudas su facilidad para ser instalado y utilizado ha permitido a este complemento llegar a ser uno de los más utilizados desde hace un par de años. Sin embargo, esto provoca que dado este descubrimiento a día de hoy haya más de 15 millones de sitios web afectados por varias vulnerabilidades que han sido detectadas en este complemento.
En el equipo de All in One SEO Pack ya se han puesto a trabajar para tratar de solucionar el problema y por el momento han conseguido solucionar dos vulnerabilidades, tal vez las más importantes de todas las encontradas, ya que permitían escalar privilegios a terceras personas gracias a la utilización de un ataque XSS.
Para poner fin a estos dos problemas, los usuarios de este complemento deberán realizar la descarga de la nueva versión que ya se encuentra disponible, la 2.1.6.
Consecuencias de estas vulnerabilidades sobre el sitio web
Según ha detallado el propio equipo de desarrollo del complemento, los fallos de seguridad permiten que personas sin acceso puedan acceder a realizar cambios en la configuración del SEO de las diferentes páginas o entradas que puedan existir en el sitio web.
Además de esto, han detallado que utilizando un ataque XSS una terceras persona podría ganar privilegios de administrador y permitir la ejecución de scripts. Detallan que esto podría ser utilizado para hacer que un sitio web fuese utilizado para extender una amenaza malware sin que su propietario fuese consciente.
Fuente | The Hacker News