Plugin All in One SEO Pack versión 2.3.7 y anteriores con problema de seguridad
All in One SEO Pack es un plugin extremadamente popular con más de 1 millón de instalaciones activas.
La vulnerabilidad descubierta es de almacenamiento no autenticado XSS, lo que le permite a un atacante inyectar código javascript en una página que requiere privilegios de administración. Cuando un administrador visita esa página, el código malicioso se ejecuta y realiza acciones administrativas tales como la modificación de privilegios de usuario, creación de un nuevo usuario administrador o el robo de los tokens de sesión del administrador.
El código sólo se ejecutará si se tiene el módulo de sitemap habilitado en el plugin. Por la popularidad de este plugin, se estima que son 100s de miles de sitios los que están en riesgo.
¿Qué hacer?
El autor del plugin liberó ya una nueva versión all in one seo 2.3.8, que soluciona la vulnerabilidad descubierta, por lo que es recomendable actualizar tan pronto como puedas.