В одном из самых популярных SEO-плагинов для WordPress — All in One SEO — была обнаружена серьезная уязвимость безопасности. Ошибка позволяла пользователям с минимальными правами доступа получить доступ к глобальному AI-токену сайта, что потенциально открывало путь к несанкционированному использованию AI-функций плагина.
Плагин установлен более чем на 3 миллионах сайтов по всему миру, включая коммерческие проекты, медиа и корпоративные ресурсы. Именно поэтому проблема быстро привлекла внимание специалистов по безопасности и владельцев сайтов.
Что такое All in One SEO и зачем он нужен
All in One SEO — один из старейших и наиболее распространённых SEO-плагинов для WordPress. Он используется для управления метаданными, генерации XML-карт сайта, внедрения структурированных данных и оптимизации контента под поисковые системы.
В последние годы плагин активно развивает AI-функциональность. Встроенные инструменты на базе искусственного интеллекта помогают генерировать:
- заголовки и мета-описания;
- тексты статей и FAQ-блоки;
- контент для социальных сетей;
- изображения и вспомогательные материалы.
Работа этих функций завязана на единый AI-доступ — специальный токен, который используется плагином для связи с внешними AI-сервисами.
В чем заключалась уязвимость
Проблема была обнаружена специалистами по безопасности и связана с отсутствием проверки прав доступа в одном из REST API-эндпоинтов WordPress.
Речь идет о следующем API-маршруте:
/aioseo/v1/ai/creditsЭтот эндпоинт предназначен для отображения информации об использовании AI-функций и остатке кредитов. Однако в уязвимых версиях плагина он не проверял, имеет ли пользователь достаточные права для просмотра этих данных.
В результате любой авторизованный пользователь с ролью Contributor и выше мог получить доступ к глобальному AI-токену сайта.
Почему это опасно
Роль «Contributor» в WordPress считается одной из самых низких. Ее часто выдают внешним авторам, редакторам или подрядчикам для подготовки черновиков материалов.
Утечка глобального AI-токена при таком уровне доступа несет сразу несколько рисков:
1. Несанкционированное использование AI
Получив токен, злоумышленник может отправлять AI-запросы от имени сайта, генерируя контент и расходуя лимиты, привязанные к аккаунту владельца ресурса.
2. Исчерпание AI-кредитов
Автоматические или массовые запросы могут быстро обнулить доступные лимиты, лишив администратора возможности использовать AI-инструменты в работе.
3. Финансовые риски
Хотя уязвимость не позволяла выполнять произвольный код или напрямую взломать сайт, утечка токена могла привести к дополнительным расходам и потере контроля над AI-функциями.
Не единичный случай
Этот инцидент стал частью более широкой картины. За один год в All in One SEO было выявлено сразу несколько уязвимостей, связанных с недостаточной проверкой прав доступа.
Среди проблем, фиксировавшихся ранее, упоминались:
- утечки чувствительных данных;
- SQL-инъекции;
- хранимые XSS-уязвимости;
- ошибки авторизации;
- некорректная работа с REST API.
Общая черта всех этих случаев — слабый контроль над действиями пользователей с низким уровнем прав.
Как была устранена проблема
Уязвимость затрагивала все версии All in One SEO вплоть до 4.9.2 включительно. Исправление было выпущено в версии 4.9.3.
Разработчики усилили защиту API-маршрутов и добавили необходимые проверки прав доступа, исключив возможность получения AI-токена пользователями без административных привилегий.
Что делать владельцам сайтов
Если на сайте используется All in One SEO, рекомендуется:
- проверить текущую версию плагина;
- незамедлительно обновиться до версии 4.9.3 или выше;
- пересмотреть список пользователей с доступом к админ-панели;
- минимизировать выдачу ролей Contributor и Author сторонним лицам.
Этот случай еще раз показывает, что даже SEO-инструменты и AI-функции требуют такого же внимательного отношения к безопасности, как и любые другие компоненты сайта.
Источник: Search Engine Journal
