CVE-2021-24307

As versões do All in One SEO – Best WordPress SEO Plugin – Easily Improve Your SEO Rankings anteriores à 4.1.0.2

A vulnerabilidade permite que usuários autenticados com o privilégio aioseo tools settings, normalmente administradores, executem código arbitrário no servidor. Isso é possível porque o plugin tenta deserializar valores de arquivos .ini enviados na seção “Ferramentas > Importar/Exportar”. A biblioteca Monolog incorporada pode ser explorada para criar uma cadeia de gadgets, levando à execução de comandos do sistema.

Para versões anteriores à 4.1.0.2, atualize para a versão 4.1.0.2 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à seção “Ferramentas > Importar/Exportar” e ao privilégio aioseo tools settings para minimizar o risco de exploração. Evite enviar arquivos .ini de fontes não confiáveis até que o problema seja resolvido.