Se gere um site e utiliza o popular plugin All in One SEO (AIOSEO), é altura de verificar se tem as atualizações em dia. Foi descoberta uma vulnerabilidade de segurança que coloca em risco os recursos de Inteligência Artificial de mais de três milhões de sites WordPress, permitindo que utilizadores com baixos privilégios acedam a dados sensíveis e consumam créditos de forma indevida.
A falha, que afeta as versões do plugin até à 4.9.2, reside na forma como o software gere as permissões de acesso à sua API, abrindo uma porta para que colaboradores ou autores com acesso limitado possam visualizar o token global de acesso à IA do site.
Um "passe livre" para os créditos de IA
O All in One SEO é uma ferramenta essencial para muitos administradores, ajudando na otimização para motores de busca e oferecendo funcionalidades modernas de Inteligência Artificial para gerar títulos, descrições e metadados. Para que estas funcionalidades operem, o plugin utiliza um "token" de acesso global que comunica com os serviços externos da AIOSEO.
O problema, segundo os detalhes revelados pela Wordfence, estava num endpoint específico da API REST (/aioseo/v1/ai/credits). Esta rota, destinada a verificar os créditos de IA disponíveis, falhou na implementação de uma verificação de capacidades adequada.
Em termos práticos, isto significa que o plugin não estava a validar se o utilizador que fazia o pedido tinha, de facto, permissão para ver esses dados. Como resultado, qualquer utilizador autenticado com o nível de "Colaborador" (Contributor) — um dos papéis com menos privilégios no ecossistema WordPress, geralmente usado apenas para submeter rascunhos — conseguia solicitar e visualizar o token secreto de IA.
Os riscos para os administradores
Embora esta falha não permita a execução direta de código malicioso no servidor, as consequências financeiras e operacionais podem ser significativas. Com a posse deste token, um atacante (ou um colaborador interno mal-intencionado) poderia:
Uso não autorizado de IA: Utilizar a conta do site vítima para gerar conteúdo de IA para uso próprio, consumindo os créditos pagos pelo administrador.
Esgotamento de Serviço: Automatizar pedidos para gastar deliberadamente todo o plafond de IA disponível, impedindo os administradores legítimos de usarem as ferramentas pelas quais pagaram (um tipo de ataque de negação de serviço financeiro).
Um ano difícil para a segurança do plugin
Este incidente insere-se num padrão preocupante para o All in One SEO durante o último ano. De acordo com a Wordfence, o plugin registou seis vulnerabilidades divulgadas apenas em 2025, muitas das quais partilhavam o mesmo tema: a falta de verificação de autorizações para utilizadores de baixo privilégio.
Estas falhas anteriores permitiram, em diferentes ocasiões, injeções de SQL, divulgação de informações sensíveis e até a eliminação arbitrária de ficheiros multimédia por parte de utilizadores que não deveriam ter esse poder. Para colocar em perspetiva, outros plugins concorrentes no mesmo espaço, como o Yoast SEO, não registaram vulnerabilidades conhecidas no mesmo período, enquanto o RankMath teve quatro e o Squirrly SEO três.
Como proteger o seu site
A equipa de desenvolvimento do AIOSEO agiu para corrigir o problema. A falha foi resolvida com o lançamento da versão 4.9.3, que introduziu um "endurecimento das rotas da API" para impedir que o token de acesso à IA seja exposto a utilizadores não autorizados.
Para os administradores de sites, a recomendação é imediata: verifique a versão do plugin instalada e atualize para a versão 4.9.3 ou superior o mais rapidamente possível. Esta ação é especialmente crítica para sites que permitem o registo de múltiplos utilizadores ou que têm uma equipa editorial vasta com acesso ao painel de administração.
Nenhum comentário
Seja o primeiro!