Uno dei plugin per WordPress più popolari (oltre 3 milioni di installazioni) è All in One SEO. Un ricercatore di sicurezza ha scoperto due gravi vulnerabilità che permettono di accedere ad alcuni dati sensibili e di eseguire codice remoto. Il problema è stato risolto con la versione più recente, ma oltre 800.000 siti non sono stati aggiornati.
All in One SEO: installare subito la versione 4.1.5.3
La prima vulnerabilità (CVE-2021-25036) è presente in ogni versione tra 4.0.0 a 4.1.5.2. Cambiando un singolo carattere da minuscolo a maiuscolo è possibile aggirare il controllo dei privilegi. Quindi un utente con privilegi bassi (ad esempio “Sottoscrittore”) può aumentare i suoi privilegi ed eseguire codice remoto sul sito. Ciò rappresenta un serio pericolo perché alcuni endpoint del plugin, come aioseo/v1/htaccess
, possono scrivere contenuto arbitrario nel file .htaccess
e quindi modificare la configurazione del server.
La seconda vulnerabilità (CVE-2021-25037) è invece presente in ogni versione tra 4.1.3.1 e 4.1.5.2. In questo caso, un malintenzionato può effettuare una “SQL injection” per ottenere come risposta alla query varie informazioni sensibili, tra cui username e password.
Il ricercatore Marc Montpas ha segnalato le due vulnerabilità allo sviluppatore di All in One SEO. Entrambe sono state corrette nella versione 4.1.5.3 del plugin. È quindi fortemente consigliato l’aggiornamento. Nonostante sia stato rilasciato da circa due settimane, ci sono ancora oltre 800.000 siti vulnerabili. Al momento non è noto se sono in circolazione exploit attivi, ma il rischio è molto alto, considerata la popolarità del plugin.