จากที่มีการพบ 2 ช่องโหว่ในปลั๊กอิน All In One SEO ซึ่งได้แก่ ช่องโหว่ที่ช่วยยกระดับสิทธิ์ผู้ใช้ (Authenticated Privilege Escalation หมายเลขช่องโหว่ CVE-2021-25036) และช่องโหว่ที่ช่วยให้แฮกเกอร์สามารถแทรก SQL ที่เป็นอันตรายได้ (Authenticated SQL Injection หมายเลขช่องโหว่ CVE-2021-25037) ซึ่งในปัจจุบันนี้ปลั๊กอินนี้ได้รับการติดตั้งไปแล้วกว่า 3 ล้านเว็บไซต์
ทั้งสองช่องโหว่นี้ส่งผลกระทบกับปลั๊กอินนี้ตั้งแต่เวอร์ชัน 4.0.0 จนถึง 4.1.5.2
ทางผู้พัฒนาปลั๊กอินได้ทำการอัปเดตออกแพตช์เพื่ออุดช่องโหว่นี้ไปแล้วเมื่อวันที่ 7 ธันวาคมที่ผ่านมา แต่อย่างไรก็ดี จากการตรวจสอบพบว่า ยังมีเว็บไซต์กว่า 820,000 เว็บ ที่ยังไม่ได้ทำการอัปเดตปลั๊กอินให้เป็นเวอร์ชันล่าสุด ส่งผลให้ยังมีการโจมตีอยู่เรื่อยๆ
ปลั๊กอิน All In One SEO นี้ถือว่าเป็นปลั๊กอินที่นิยมใช้กัน ดูจากสถิติในช่วง 2 สัปดาห์ที่ผ่านมา ยังคงมีผู้ใช้งานดาวน์โหลดอยู่เรื่อยๆ
[table id=29 /]
ดังนั้น เพื่อเป็นการป้องกัน แนะนำให้ทำการอัปเดตปลั๊กอิน All In One SEO เป็นเวอร์ชันล่าสุด คือเวอร์ชัน 4.1.5.3
ที่มา: Bleeping Computer