Была обнаружена уязвимость в широко используемом плагине All in One SEO (AIOSEO) для WordPress. Это позволяло пользователям с ограниченным доступом просматривать конфиденциальный AI-токен, что потенциально могло привести к злоупотреблению AI-функциями плагина. Злоумышленники могли использовать это для создания контента или исчерпания AI-кредитов веб-сайта без разрешения. Учитывая, что плагин используется более чем на 3 миллионах веб-сайтов, это была серьезная проблема.
Купил акции на все деньги, а они упали? А Илон Маск снова написал твит? Знакомо. У нас тут клуб тех, кто пытается понять этот цирк и не сойти с ума.
Купить на падении (нет)All in One SEO WordPress Plugin (AIOSEO)
All in One SEO — популярный плагин WordPress, используемый более чем на 3 миллионах веб-сайтов для улучшения позиций в поисковых системах. Он упрощает SEO, помогая вам создавать такие вещи, как описания веб-сайтов, карты сайта и структурированные данные. Кроме того, теперь он включает в себя инструменты искусственного интеллекта, чтобы помочь вам писать лучшие заголовки, описания, записи в блогах, часто задаваемые вопросы, обновления в социальных сетях и даже генерировать изображения.
Эти функции ИИ требуют специальный ключ, называемый токеном доступа к ИИ, для подключения и использования сервисов ИИ, предоставляемых AIOSEO.
Отсутствует проверка возможности
Wordfence обнаружила уязвимость в системе безопасности, позволяющую пользователям с правами участника просматривать конфиденциальный AI-токен. Это произошло из-за того, что плагин некорректно проверял наличие у пользователей разрешения на доступ к определенной части своей системы (REST API endpoint).
На веб-сайте WordPress API действует как соединитель, позволяя различным программным программам – включая такие инструменты, как AI-генератор контента AIOSEO – безопасно общаться друг с другом и обмениваться информацией. REST endpoint — это просто веб-адрес, который позволяет этим программам получать доступ к определенным функциям или данным.
/aioseo/v1/ai/credits
Эта функция разработана для отображения объема ИИ, использованного веб-сайтом, и количества оставшихся кредитов. Однако, она не подтвердила, имеет ли запрашивающий информацию пользователь разрешение на просмотр данных. В частности, плагин AIOSEO не проверял, должен ли пользователь с правами доступа ‘contributor’ иметь возможность видеть эти данные.
Это означало, что любой, вошедший на сайт с ролью ‘Contributor’ или более высоким уровнем доступа, мог получить основной AI access token для всего сайта.
Эта уязвимость позволяет злоумышленникам, получившим легитимный доступ к системе (на уровне Contributor или выше), раскрыть основной AI access token.
Проблема заключалась в отсутствии проверки безопасности в REST API. Это позволило пользователям с ограниченным доступом просматривать конфиденциальную информацию, которую они не должны были видеть.
Плагины WordPress, использующие REST API, должны проверять разрешения пользователя, чтобы предотвратить несанкционированный доступ. Этот плагин не включал такую проверку, ошибочно предоставляя авторам (Contributors) тот же доступ к конфиденциальной информации об искусственном интеллекте, что и администраторам.
Почему уязвимость является проблемной.
В WordPress роль участника имеет очень ограниченные права. Она часто используется для предоставления нескольким людям возможности отправлять черновики публикаций на рассмотрение перед их публикацией.
Предоставление AI-токена пользователям могло дать им единый ключ, открывающий все AI-функции сайта. Этот токен потенциально мог быть использован для:
Этот токен действует как пароль, предоставляя доступ к функциям искусственного интеллекта на нашем веб-сайте. Если кто-то получит несанкционированный доступ к нему, он сможет использовать наши AI-сервисы, используя нашу учетную запись, что потенциально может исчерпать любые лимиты использования или кредиты, связанные с ней.
Злоумышленник мог бы использовать раскрытый токен для отправки на сайт большого количества автоматизированных запросов, быстро исчерпав все доступные ресурсы искусственного интеллекта. Это заблокировало бы администраторам сайта и другим пользователям доступ к функциям искусственного интеллекта, по сути, вызвав атаку типа «отказ в обслуживании» на инструменты искусственного интеллекта плагина.
Хотя эта уязвимость в системе безопасности не позволяет злоумышленникам напрямую запускать код, раскрытие API-ключа всё же может привести к неожиданным сборам или проблемам с выставлением счетов.
Часть более широкого паттерна уязвимостей
All In One SEO неоднократно обнаруживал недостатки в системе безопасности, связанные с неправильными настройками контроля доступа. Wordfence сообщает, что только в 2025 году в этом плагине было обнаружено шесть уязвимостей, некоторые из которых позволяли пользователям с ограниченными правами – например, Авторам или Подписчикам – просматривать или изменять данные, к которым у них не было доступа.
Обнаруженные проблемы с безопасностью включали в себя уязвимости, такие как SQL-инъекции, утечки данных, возможность удаления файлов без разрешения, отсутствие проверок безопасности, раскрытие конфиденциальных данных и тип веб-атаки, называемый сохраненным межсайтовым скриптингом (stored cross-site scripting). Общей нитью в этих отчетах – и первопричиной недавнего раскрытия AI токенов – был недостаточный контроль разрешений для пользователей с ограниченным доступом.
Обнаружение шести уязвимостей в системе безопасности за один год – это много для SEO-плагина. Для сравнения, Yoast SEO не имела зарегистрированных проблем в 2025 году, RankMath – четыре, а Squirrly SEO – всего три.
Скриншот шести уязвимостей AIOSEO в 2025 году.
Как была исправлена уязвимость
Все версии плагина All in One SEO до версии 4.9.2 уязвимы. Эта проблема была исправлена в версии 4.9.3, которая включала обновление безопасности, подробно описанное в официальном журнале изменений плагина.
«Усиленные API-маршруты для предотвращения раскрытия токена доступа ИИ.»
Это изменение напрямую соответствует уязвимости REST API, выявленной Wordfence.
Что должны сделать владельцы сайтов
Как вебмастер, я советую всем, кто использует All in One SEO, немедленно обновиться до версии 4.9.3 или более поздней. Мне стало известно, что сайты с несколькими пользователями – особенно те, у которых у некоторых пользователей ограниченный доступ – находятся в опасности. Более старые версии могут позволить даже пользователям с низким уровнем доступа получить доступ к AI-токену вашего сайта, что является серьезной проблемой безопасности. Поэтому, пожалуйста, обновитесь сейчас, чтобы защитить свой сайт.
Смотрите также
- Анализ динамики цен на криптовалюту PI: прогнозы PI
- Анализ динамики цен на криптовалюту CRV: прогнозы CRV
- Золото прогноз
- Акции RUAL. РУСАЛ: прогноз акций.
- Акции MOEX. Мосбиржа: прогноз акций.
- Акции SNGS. Сургутнефтегаз: прогноз акций.
- Акции PIKK. ПИК: прогноз акций.
- Акции KROT. Красный Октябрь: прогноз акций.
2026-01-16 04:10