Se ha descubierto una vulnerabilidad de secuencias de comandos entre sitios (XSS cross-site scripting) en el plugin SEOPress para SEO de WordPress.

SEOPress es una herramienta de optimización de motores de búsqueda (SEO) que permite a los propietarios de sitios administrar metadatos de SEO, tarjetas de redes sociales, configuraciones de anuncios de Google, entre otras. Este plugin se encuentra instalado en más de 100.000 sitios web.

Los detalles de la vulnerabilidad se han hecho públicos en este agosto de 2021, teniendo un impacto a nivel mundial.

La vulnerabilidad está etiquetada como CVE-2021-34641. Esta vulnerabilidad permite que cualquier usuario autenticado, como un suscriptor, llamar al API REST con un token válido, de modo que puede actualizar el título y la descripción de SEO de cualquier publicación. Dependiendo de lo que un atacante realice, podría permitirles llevar a cabo varias acciones maliciosas, incluida la toma de control total del sitio.

Se desconoce si la vulnerabilidad ha sido explotada hasta ahora, pero pronto estará siendo usada .

Por esto, recomendamos actualizar la versión de SEOPress a su última versión.