Vulnerabilidad crítica en plugin de WordPress All in One SEO afecta a 3 millones de sitios web

Especialistas en ciberseguridad reportan la detección de una vulnerabilidad crítica en All In One SEO, uno de los plugins más populares en WordPress, instalado en más de 3 millones de sitios web operados por este sistema de gestión de contenidos (CMS). El problema fue identificado durante una auditoría interna, en conjunto con otras fallas en plugins populares.

Como algunos usuarios recordarán, All In One SEO es un plugin diseñado para WordPress que ayuda a optimizar los contenidos del sitio web en orden de que mejores su posicionamiento en los resultados de búsqueda. Este plugin está diseñado para cualquier sitio web que emplee estrategias de SEO.

El problema detectado puede ser dividido en dos secciones dependientes una de la otra. La primera es una falla que reside directamente en la función REST API de WordPress y su explotación exitosa permitiría a los actores de amenazas acceder a la información como nombres de usuario y contraseñas con privilegios mínimos en el sistema afectado.

Acorde a los investigadores, esa falla existe debido a un endpoint débil en el plugin y podría generar severos problemas de seguridad para los sitios web afectados.

Por otra parte, la segunda falla se trata de una inyección SQL autenticada, una conocida y peligrosa técnica de hacking que permite a los actores de amenazas leer, editar e incluso eliminar las bases de datos del sitio web afectado.

Como se menciona anteriormente, All In One SEO es empleado por más de 3 millones de sitios web en WordPress, por lo que los datos de un número exponencialmente mayor de usuarios podrían verse afectados.

Los problemas de seguridad fueron identificados a inicios de diciembre, por lo que All In One SEO anunció el lanzamiento de una nueva versión con las correcciones necesarias. La actualización ya está lista, por lo que se recomienda a los usuarios instalar la versión 4.1.5.3 para mitigar el riesgo de explotación.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).