All In One SEO-ს კრიტიკული ხარვეზი: საფრთხე 3 მილიონზე მეტ WordPress საიტს ემუქრება

WordPress-ის პოპულარულ პლაგინში, All in One SEO (AIOSEO), უსაფრთხოების სერიოზული ხარვეზი აღმოაჩინეს, რომელიც 3 მილიონზე მეტ ინსტალაციას აზარალებს. ეს უკვე მეექვსე შემთხვევაა 2025 წელს, როდესაც ამ პლაგინში მოწყვლადობა ფიქსირდება. აღნიშნული ხარვეზი დაბალი პრივილეგიის მქონე მომხმარებლებს საშუალებას აძლევს, მოიპოვონ წვდომა საიტის გლობალურ AI ტოკენზე (AI access token).

ამ ტოკენზე წვდომა თავდამსხმელებს საშუალებას აძლევს, ბოროტად გამოიყენონ პლაგინის ხელოვნური ინტელექტის ფუნქციები. კერძოდ, მათ შეუძლიათ დააგენერირონ კონტენტი ან გახარჯონ საიტის კუთვნილი AI კრედიტები. ვინაიდან პლაგინი 3 მილიონზე მეტ ვებსაიტზეა დაინსტალირებული, საფრთხის მასშტაბი საკმაოდ დიდია.

All in One SEO WordPress პლაგინი (AIOSEO)

All in One SEO ერთ-ერთი ყველაზე ფართოდ გამოყენებადი SEO ინსტრუმენტია WordPress-ის ეკოსისტემაში. ის საიტის მფლობელებს ეხმარება ისეთი ამოცანების შესრულებაში, როგორიცაა მეტამონაცემების გენერირება, XML საიტის რუკების (Sitemaps) შექმნა და სტრუქტურირებული მონაცემების დამატება. გარდა ამისა, პლაგინი სთავაზობს AI-ზე დაფუძნებულ ხელსაწყოებს სათაურების, აღწერების, ბლოგპოსტების, FAQ-ების და სოციალური მედიის პოსტების დასაწერად, ასევე სურათების დასაგენერირებლად.

ეს AI ფუნქციები ეყრდნობა საიტის მასშტაბით მოქმედ AI ტოკენს, რომელიც პლაგინს საშუალებას აძლევს, დაუკავშირდეს AIOSEO-ს გარე AI სერვისებს.

წვდომის შემოწმების ნაკლებობა (Missing Capability Check)

Wordfence-ის თანახმად, მოწყვლადობა გამოიწვია პლაგინის მიერ გამოყენებულ კონკრეტულ REST API endpoint-ზე ნებართვების შემოწმების არარსებობამ. ამის გამო, მომხმარებლებს, რომლებსაც აქვთ მხოლოდ კონტრიბუტორის (Contributor) დონის წვდომა, შეეძლოთ გლობალური AI ტოკენის ნახვა.

WordPress-ის კონტექსტში, API (Application Programming Interface) არის ხიდი ვებსაიტსა და სხვადასხვა პროგრამულ აპლიკაციებს შორის, რაც მათ მონაცემთა უსაფრთხო გაცვლის საშუალებას აძლევს. REST endpoint კი არის URL, რომელიც უზრუნველყოფს წვდომას კონკრეტულ ფუნქციონალზე ან მონაცემებზე. ხარვეზი დაფიქსირდა შემდეგ REST API endpoint-ზე:

/wp-json/aioseo/v1/ai/usage

ეს endpoint განკუთვნილია საიტის AI გამოყენების სტატისტიკისა და დარჩენილი კრედიტების შესახებ ინფორმაციის მისაღებად. თუმცა, პლაგინმა ვერ შეძლო იმის გადამოწმება, ჰქონდა თუ არა მოთხოვნის გამგზავნ მომხმარებელს ამ მონაცემების ნახვის უფლება. AIOSEO-მ არ განახორციელა წვდომის უფლების შემოწმება (capability check), რათა დაედგინა, უნდა ჰქონოდა თუ არა კონტრიბუტორის სტატუსის მქონე პირს ამ ინფორმაციაზე წვდომა.

შედეგად, ნებისმიერ ავტორიზებულ მომხმარებელს კონტრიბუტორის ან უფრო მაღალი რანგის სტატუსით, შეეძლო გამოეძახებინა ეს endpoint-ი და მიეღო საიტის გლობალური AI ტოკენი. Wordfence ამ ხარვეზს ასე აღწერს: „ეს შესაძლებელს ხდის ავტორიზებული თავდამსხმელებისთვის, კონტრიბუტორის დონის წვდომით, მოიპოვონ გლობალური AI ტოკენი“.

რატომ არის ეს მოწყვლადობა პრობლემური?

WordPress-ში კონტრიბუტორის როლი ერთ-ერთი ყველაზე დაბალი პრივილეგიის მქონეა. ბევრი საიტი ამ წვდომას მრავალ ადამიანს აძლევს, რათა მათ შეძლონ სტატიების შავპირების წარდგენა განსახილველად. AI ტოკენის ამ მომხმარებლებისთვის გამჟღავნებით, პლაგინმა ფაქტობრივად გასცა საიტის მასშტაბის რწმუნებათა სიგელები. ეს ტოკენი შეიძლება გამოყენებულ იქნას შემდეგი მიზნებისთვის:

• არაავტორიზებული AI გამოყენება: ტოკენი მოქმედებს როგორც საიტის რწმუნებათა სიგელი AI მოთხოვნების ავტორიზაციისთვის. თუ თავდამსხმელი მას მოიპოვებს, მას შეუძლია დააგენერიროს AI კონტენტი დაზარალებული საიტის ანგარიშით და გახარჯოს მასთან დაკავშირებული კრედიტები ან ლიმიტები.
• სერვისის გამოფიტვა: თავდამსხმელს შეუძლია ავტომატიზებული მოთხოვნების მეშვეობით ამოწუროს საიტის ხელმისაწვდომი AI კვოტა. ეს ხელს შეუშლის საიტის ადმინისტრატორებს იმ AI ფუნქციების გამოყენებაში, რომლებზეც ისინი არიან დამოკიდებულნი, რაც ფაქტობრივად ქმნის „მომსახურებაზე უარის თქმის“ (DoS) მდგომარეობას პლაგინის AI ინსტრუმენტებისთვის.

მიუხედავად იმისა, რომ მოწყვლადობა არ იძლევა კოდის პირდაპირი შესრულების საშუალებას, API ტოკენის გაჟონვა მაინც წარმოადგენს ფინანსურ რისკს.

ხარვეზების სისტემური ხასიათი

ეს არ არის პირველი შემთხვევა, როდესაც All In One SEO-ში ვლინდება ავტორიზაციის ნაკლებობასთან ან დაბალი პრივილეგიის მქონე მომხმარებლების წვდომასთან დაკავშირებული პრობლემები. Wordfence-ის მონაცემებით, მხოლოდ 2025 წელს პლაგინში ექვსი მოწყვლადობა გამოვლინდა. ბევრი მათგანი კონტრიბუტორებს ან გამომწერებს (Subscriber) აძლევდა საშუალებას, მიეღოთ წვდომა ან შეეცვალათ მონაცემები, რომლებზეც მათ უფლება არ უნდა ჰქონოდათ.

ეს პრობლემები მოიცავდა SQL ინექციას, ინფორმაციის გამჟღავნებას, მედია ფაილების თვითნებურ წაშლას, ავტორიზაციის შემოწმების ნაკლებობას და შენახულ Cross-Site Scripting-ს (XSS). ყველა ამ შემთხვევის საერთო თემა დაბალი პრივილეგიის მქონე მომხმარებლებისთვის ნებართვების არასწორი აღსრულებაა.

წელიწადში ექვსი მოწყვლადობა საკმაოდ მაღალი მაჩვენებელია SEO პლაგინისთვის. შედარებისთვის, Yoast SEO პლაგინს 2025 წელს ნული ხარვეზი ჰქონდა, RankMath-ს — ოთხი, ხოლო Squirrly SEO-ს — მხოლოდ სამი.

როგორ გამოსწორდა ხარვეზი

მოწყვლადობა ეხება All in One SEO-ს ყველა ვერსიას 4.9.2-ის ჩათვლით. პრობლემა გამოსწორდა 4.9.3 ვერსიაში. პლაგინის დეველოპერებმა ოფიციალურ ცვლილებების ჟურნალში (changelog) განახლება შემდეგნაირად აღწერეს: „გაძლიერდა API მარშრუტები, რათა თავიდან იქნას აცილებული AI ტოკენის გამჟღავნება“.

რეკომენდაციები საიტის მფლობელებისთვის

ყველამ, ვინც იყენებს All in One SEO-ს, რაც შეიძლება მალე უნდა განაახლოს პლაგინი 4.9.3 ან უფრო ახალ ვერსიაზე. განსაკუთრებული საფრთხის ქვეშ არიან ის საიტები, რომლებსაც ბევრი გარე კონტრიბუტორი ჰყავთ, რადგან მოწყვლად ვერსიებში დაბალი პრივილეგიის მქონე ანგარიშებს შეეძლოთ საიტის AI ტოკენზე წვდომა.