All in One SEO 是使用最广泛的 WordPress SEO 插件之一,已安装在超过 300 万个网站上。近期它被发现存在安全漏洞,低权限用户可能利用该漏洞访问网站的全局 AI 访问令牌,从而滥用插件的人工智能功能,攻击者甚至可能利用受影响网站的 AIOSEO AI 积分和 AI 功能生成内容或消耗积分。
据 Wordfence 称,该漏洞是由插件使用的特定 REST API 端点缺少权限检查造成的,这使得具有贡献者级别访问权限的用户能够查看全局 AI 访问令牌。
该漏洞影响 All in One SEO 的所有版本,包括 4.9.2 及更早版本。该漏洞已在 4.9.3 版本中得到修复,请尽快更新!
