В плагине All In One SEO обнаружены серьезные уязвимости

Исследователи безопасности из Jetpack обнаружили две серьезные уязвимости в популярном WordPress-плагине All In One SEO, который установлен на более чем 3 млн сайтов.

Через эти уязвимости хакеры могут получить доступ к учетным данным, а также запустить удаленное выполнение кода.

Первая уязвимость, Privilege Escalation Attack, позволяет пользователю с низким уровнем доступа к сайту (например, подписчику) поднять свой уровень вплоть до администратора.

Вторая уязвимость, Authenticated Privilege Escalation, которая использует WordPress REST API, позволяет злоумышленникам получить доступ к именам пользователей и паролям.

Обе уязвимости описаны как серьезные. Они затронули версии 4.0.0 – 4.1.5.2.

Специалисты Jetpack рекомендуют владельцам сайтов обновить плагин до последней версии – 4.1.5.3. В ней обе уязвимости уже закрыты.