Vulnerabilidade All In One SEO WordPress afeta mais de 3 milhões de sites -

Uma vulnerabilidade de segurança foi descoberta no popular plug-in WordPress All in One SEO (AIOSEO) que possibilitou que usuários com poucos privilégios acessassem o token de acesso global de IA de um site, potencialmente permitindo que eles usassem indevidamente os recursos de inteligência artificial do plug-in e poderia permitir que invasores gerassem conteúdo ou consumissem créditos usando os créditos AIOSEO AI e recursos de IA do site afetado. O plugin está instalado em mais de 3 milhões de sites WordPress, tornando a exposição significativa.

Plug-in SEO WordPress tudo em um (AIOSEO)

All in One SEO é um dos plug-ins de SEO para WordPress mais usados, instalado em mais de 3 milhões de sites. Ele ajuda os proprietários de sites a gerenciar tarefas de otimização de mecanismos de pesquisa, como geração de metadados, criação de mapas de sites XML, adição de dados estruturados e fornecimento de ferramentas baseadas em IA que auxiliam na escrita de títulos, descrições, postagens em blogs, perguntas frequentes, postagens em mídias sociais e geração de imagens.

Esses recursos de IA dependem de um token de acesso de IA em todo o site que permite que o plug-in se comunique com os serviços externos de IA da AIOSEO.

Verificação de capacidade ausente

De acordo com o Wordfence, a vulnerabilidade foi causada por uma falta de verificação de permissão em um endpoint específico da API REST usado pelo plug-in que permitia aos usuários com acesso de nível de contribuidor visualizar o token de acesso global de IA.

No contexto de um site WordPress, uma API (Application Programming Interface) é como uma ponte entre o site WordPress e diferentes aplicativos de software (incluindo aplicativos externos como o gerador de conteúdo de IA da AIOSEO) que permite que eles se comuniquem e compartilhem dados com segurança entre si. Um endpoint REST é uma URL que expõe uma interface a funcionalidades ou dados.

A falha estava no seguinte endpoint da API REST:

/aioseo/v1/ai/créditos

Esse endpoint tem como objetivo retornar informações sobre o uso de IA de um site e os créditos restantes. No entanto, não foi possível verificar se o usuário que fez a solicitação tinha realmente permissão para ver esses dados. O plug-in da AIOSEO não conseguiu fazer uma verificação de capacidade para verificar se alguém conectado com acesso de nível de contribuidor pode ter acesso a esses dados.

Por causa disso, qualquer usuário logado com acesso de nível de Colaborador ou superior poderia chamar o endpoint e recuperar o token de acesso global de IA do site.

Wordfence descreve a falha assim:

“Isso possibilita que invasores autenticados, com acesso de nível de Colaborador e superior, divulguem o token de acesso global de IA.”

O problema era que a implementação do endpoint da API REST não fazia uma verificação de permissão, o que permitia que alguém com acesso de nível de contribuidor visse dados confidenciais.

No WordPress, as rotas da API REST devem incluir verificações de capacidade que garantem que apenas usuários autorizados possam acessá-las. Nesse caso, essa verificação estava faltando, então o plugin tratou os Colaboradores da mesma forma que os administradores ao retornar o token AI.

Por que a vulnerabilidade é problemática

No WordPress, a função de nível Colaborador é um dos níveis de privilégio mais baixos. Muitos sites concedem acesso de nível de Colaborador a várias pessoas para que possam enviar rascunhos de artigos para revisão e publicação.

Ao expor o token global de IA a esses usuários, o plug-in pode ter efetivamente distribuído uma credencial para todo o site que controla o acesso aos seus recursos de IA. Esse token pode ser usado para:

1. Uso não autorizado de IA
O token funciona como uma credencial para todo o site que autoriza solicitações de IA. Se um invasor o obtiver, poderá usá-lo para gerar conteúdo de IA por meio da conta do site afetado, consumindo quaisquer créditos ou limites de uso associados a esse token.

2. Esgotamento do serviço
Um invasor pode automatizar solicitações usando o token exposto para esgotar a cota de IA disponível do site. Isso impediria que os administradores do site usassem os recursos de IA dos quais dependem, criando efetivamente uma negação de serviço para as ferramentas de IA do plugin.

Embora a vulnerabilidade não permita a execução direta de código, o vazamento de um token de API em todo o site ainda representa um possível risco de cobrança.

Parte de um padrão mais amplo de vulnerabilidades

Esta não é a primeira vez que o All In One SEO apresenta vulnerabilidades relacionadas à falta de autorização ou acesso com poucos privilégios. De acordo com o Wordfence, o plugin teve seis vulnerabilidades divulgadas somente em 2025, muitas das quais permitiram que usuários de nível Colaborador ou Assinante acessassem ou modificassem dados que não deveriam ter acesso.

Esses problemas incluíam injeção de SQL, divulgação de informações, exclusão arbitrária de mídia, falta de verificações de autorização, exposição de dados confidenciais e scripts entre sites armazenados. O tema recorrente nesses relatórios é a aplicação inadequada de permissão para usuários de baixo privilégio, a mesma classe subjacente de falha que levou à exposição do token de IA neste caso.

Seis vulnerabilidades em um ano é um nível alto para um plugin de SEO. O plugin Yoast SEO não tinha vulnerabilidades em 2025, RankMath tinha quatro vulnerabilidades em 2025 e Squirrly SEO tinha apenas três vulnerabilidades em 2025.

Captura de tela de seis vulnerabilidades AIOSEO em 2025

Como a vulnerabilidade foi corrigida

A vulnerabilidade afeta todas as versões do All in One SEO até 4.9.2 inclusive. Foi abordado na versão 4.9.3, que incluiu uma atualização de segurança descrita no changelog oficial do plugin pelos desenvolvedores do plugin como:

“Rotas de API reforçadas para evitar que o token de acesso de IA seja exposto.”

Essa mudança corresponde diretamente à falha da API REST identificada pelo Wordfence.

O que os proprietários de sites devem fazer

Qualquer pessoa que execute o All in One SEO deve atualizar para a versão 4.9.3 ou mais recente o mais rápido possível. Sites que permitem múltiplos contribuidores externos estão especialmente expostos, pois contas de baixo privilégio podem acessar o token de IA do site em versões vulneráveis.

Imagem em destaque da Shutterstock/Shutterstock AI Generator

Source link

Vulnerabilidade All In One SEO WordPress afeta mais de 3 milhões de sites

Plug-in SEO WordPress tudo em um (AIOSEO)

Verificação de capacidade ausente

Por que a vulnerabilidade é problemática

Parte de um padrão mais amplo de vulnerabilidades

Captura de tela de seis vulnerabilidades AIOSEO em 2025

Como a vulnerabilidade foi corrigida

O que os proprietários de sites devem fazer

Prevendo o impacto futuro do marketing de conteúdo

Novo álbum: Josi Costi – ‘Joya’ –

13 bonecos de ação raros que valem mais com embalagem original

The 4411 Bottle the Ache of Growing Up in “Sweet July”, uma ode folk indie dourada à amizade e ao tempo

Google Search Console adiciona anotações personalizadas aos relatórios

13 parques infantis que fazem uma viagem de um dia valer a pena

Deixe um comentário Cancelar resposta

Plug-in SEO WordPress tudo em um (AIOSEO)

Verificação de capacidade ausente

Por que a vulnerabilidade é problemática

Parte de um padrão mais amplo de vulnerabilidades

Captura de tela de seis vulnerabilidades AIOSEO em 2025

Como a vulnerabilidade foi corrigida

O que os proprietários de sites devem fazer

Postagens Similares

Deixe um comentário Cancelar resposta