All in One SEO 是使用最廣泛的 WordPress SEO 插件之一,已安裝在超過(guò) 300 萬(wàn)個(gè)網(wǎng)站上。近期它被發(fā)現(xiàn)存在安全漏洞,低權(quán)限用戶可能利用該漏洞訪問網(wǎng)站的全局 AI 訪問令牌,從而濫用插件的人工智能功能,攻擊者甚至可能利用受影響網(wǎng)站的 AIOSEO AI 積分和 AI 功能生成內(nèi)容或消耗積分。
據(jù) Wordfence 稱,該漏洞是由插件使用的特定 REST API 端點(diǎn)缺少權(quán)限檢查造成的,這使得具有貢獻(xiàn)者級(jí)別訪問權(quán)限的用戶能夠查看全局 AI 訪問令牌。
該漏洞影響 All in One SEO 的所有版本,包括 4.9.2 及更早版本。該漏洞已在 4.9.3 版本中得到修復(fù),請(qǐng)盡快更新!
