All in One SEO – Powerful SEO Plugin to Boost SEO Rankings & Increase Traffic <= 4.9.2 - Missing Authorization to Authenticated (Contributor+) AI Access Token and Credit Disclosure

Resumen ejecutivo

Se ha identificado una vulnerabilidad de nivel medio en el plugin 'All in One SEO', que afecta a versiones hasta la 4.9.2. Esta falla permite el acceso no autorizado a tokens de acceso y la divulgación de créditos para usuarios autenticados con rol de colaborador o superior.

Contexto técnico

La vulnerabilidad se origina en la falta de autorización adecuada para el acceso a ciertos tokens de acceso dentro del plugin. Esto permite que usuarios no autorizados puedan obtener información sensible, lo que representa un riesgo para la integridad del sitio.

Impacto potencial

El impacto potencial incluye la exposición de datos sensibles y la posibilidad de que usuarios malintencionados obtengan acceso no autorizado a funcionalidades del plugin. Esto podría comprometer la seguridad del sitio y afectar la confianza de los usuarios.

Vector de explotación

La explotación de esta vulnerabilidad puede llevarse a cabo mediante el envío de solicitudes maliciosas a las funciones del plugin que no requieren la verificación adecuada de permisos, permitiendo así el acceso a información sensible.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin 'All in One SEO' a la versión 4.9.3 o superior. Además, es aconsejable revisar los permisos de usuario y aplicar prácticas de seguridad adicionales para proteger el acceso a la administración del sitio.

Señales de detección

Señales de posible explotación incluyen actividad inusual en los registros de acceso del plugin, especialmente intentos de acceso a funciones restringidas por usuarios con roles inadecuados.

Alcance afectado

Las versiones del plugin 'All in One SEO' hasta la 4.9.2 están afectadas. Los usuarios que no hayan actualizado a la versión 4.9.3 o superior corren el riesgo de ser vulnerables a esta falla.