Fuente base de datos: Wordfence Intelligence

All In One SEO Pack <= 4.8.6.1 - Authenticated (Subscriber+) Information Exposure

PLUGIN MEDIUM CVE-2025-64295

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de exposición de información en el plugin All In One SEO Pack, que afecta a las versiones hasta la 4.8.6.1. Esta vulnerabilidad permite a usuarios autenticados con rol de suscriptor o superior acceder a información sensible.

Contexto técnico

La vulnerabilidad se origina en la forma en que el plugin gestiona la información, permitiendo que usuarios con permisos limitados accedan a datos que deberían estar restringidos. Esto incrementa la superficie de ataque al permitir la explotación por parte de usuarios autenticados.

Impacto potencial

El impacto potencial incluye la exposición de información sensible que podría ser utilizada para realizar ataques más sofisticados o comprometer la integridad del sitio. Esto puede afectar la confianza de los usuarios y la reputación del negocio.

Vector de explotación

Normalmente, la explotación se lleva a cabo mediante la autenticación de un usuario con rol de suscriptor o superior, quien puede acceder a áreas del plugin que no deberían ser visibles para su nivel de permisos.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin a la versión 4.8.7 o superior. Además, se sugiere revisar los permisos de usuario y realizar auditorías de seguridad periódicas.

Señales de detección

Señales de riesgo incluyen accesos inusuales a la configuración del plugin por parte de usuarios con permisos limitados y cambios no autorizados en la información expuesta.

Alcance afectado

Las versiones afectadas son todas las versiones del plugin All In One SEO Pack hasta la 4.8.6.1. Se recomienda a los administradores de WordPress verificar la versión instalada.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

all-in-one-seo-pack