Ce plugin, essentiel pour le référencement naturel, propose des outils automatisés pour la rédaction d’articles, de titres et de métadonnées. La faille identifiée réside dans un défaut de contrôle des permissions au sein du système. Concrètement, un simple contributeur — le niveau de privilège le plus bas généralement accordé aux rédacteurs pour soumettre des brouillons — peut désormais visualiser le jeton de sécurité global régissant l’intelligence artificielle. En s’emparant de cette clé numérique, un utilisateur malveillant peut générer du contenu de manière occulte ou épuiser les quotas d’utilisation facturés au propriétaire du site.

À lire : Un hacker traqué du Maroc pour un vol de 210 millions d’euros

Pour les administrateurs de sites marocains, le danger est avant tout opérationnel et financier. De nombreuses plateformes de presse et sites institutionnels utilisent ces fonctionnalités pour assister leur production éditoriale. L’exposition de ce jeton permet à un attaquant d’automatiser des requêtes, créant un déni de service pour les outils dont dépendent les administrateurs. Bien que cette vulnérabilité ne permette pas l’exécution directe de code malveillant, elle constitue une fuite de données sensibles pouvant impacter la gestion budgétaire des services numériques.

À lire : Des hackers marocains s’en prennent à l’Algérie

Ce n’est pas la première fois que l’outil AIOSEO fait face à des critiques concernant sa sécurité. Au cours de l’année 2025, le plugin a déjà enregistré six vulnérabilités majeures liées à une gestion défaillante des autorisations pour les utilisateurs à faibles privilèges. Ce niveau d’insécurité est jugé élevé par rapport à ses concurrents directs : Yoast SEO n’a rapporté aucune faille sur la même période, tandis que RankMath et Squirrly SEO en ont enregistré respectivement quatre et trois.

Source de l’article : Bladi.net