主要观点：安全研究人员发现广泛使用的 WordPress 扩展存在漏洞，使网站易受远程劫持，使用All in One SEO Pack的 WordPress 网站应及时安装更新以修复特权升级漏洞。
关键信息：

• 安全公司 Sucuri 的研究人员 Marc-Alexandre Montpas 在周六的博客文章中指出该漏洞，可通过登录管理面板选择插件并选择 All in One 标题进行升级，已发布的修复漏洞版本为 2.1.6。
• Montpas 警告称，该漏洞可能导致攻击者向管理控制面板注入恶意代码，更改管理员密码或在网站底层插入后门代码，还可远程篡改网站搜索引擎优化设置，攻击者只需拥有网站的无特权账户即可利用漏洞，有时该插件的特权升级和跨站脚本漏洞会与另一个未详细说明的漏洞结合。
• 研究人员称如果网站有订阅者、作者和非管理员用户登录 wp-admin 则有风险，若有开放注册也有风险，需立即更新插件。
  重要细节：该漏洞报告和修复发布于另一名研究人员披露 WordPress.com 托管网站的一个无关弱点一周后，All in One SEO 已被下载超过 1850 万次，不安全的浏览器 cookie 漏洞将在 WordPress 的下一个计划版本中修复。