La seguridad de unos 800.000 sitios web que utilizan WordPress está en peligro. El popular complemento All in One SEO, utilizado por más de 3 millones de sitios web para mejorar el posicionamiento en motores de búsqueda, presenta dos vulnerabilidades críticas. Presentes en una actualización lanzada el pasado 7 de diciembre, no obstante, los webmasters están tardando en aplicar este parche.
El investigador de seguridad de Automattic, Marc Montpas descubrió los fallos de seguridad a principios de diciembre durante una auditoría interna al complemento All in One SEO.
Una de las vulnerabilidades (CVE-2021-25036) podría permitir que un usuario con el rol de suscriptor adquiera privilegios elevados, mientras que la otra (CVE-2021-25037) abriría la puerta a las bases de datos con información privada.
Las mencionadas vulnerabilidades afectan a las versiones 4.0.0 a 4.1.5.2 de complemento All in One SEO. Para proteger los sitios web, los webmasters deberán instalar la versión 4.1.5.3 que se puede consultar desde este enlace. Asimismo se recomienda mantener todos los plugins actualizados para evitar posibles riegos de seguridad.
Accede para ver información más detallada: XATAKA