זוהתה פגיעות קריטית בפלאגין AI Engine לאתרי וורדפרס, המשפיעה בעיקר על הגרסה החינמית של תוסף זה, הכוללת למעלה מ- 50,000 התקנות פעילות. התוסף זוכה להכרה נרחבת בזכות הפונקציונליות המגוונת שלו הקשורה לבינה מלאכותית, המאפשרת למשתמשי וורדפרס ליצור צ'אטבוטים, לנהל תוכן ולהשתמש בכלי AI שונים כגון תרגום, SEO ועוד.
על פי דוח שפורסם על ידי Patchstack, ליקוי האבטחה המדובר הינו פגיעות המאפשרת העלאה שרירותית של קבצים לא מאומתת בפונקציית rest_upload של התוסף בתוך מודול files.php. הפגיעות מאפשרת לכל משתמש לא מאומת להעלות קבצים שרירותיים, כולל קובצי PHP זדוניים העלולים להוביל לביצוע קוד מרחוק באתר הוורדפרס. יש לציין שהפרמטר permission_callback של נקודת הקצה הרלוונטית של REST API מוגדר ל-__return_true, מה שמאפשר לכל משתמש לא מאומת להפעיל את הפונקציה הפגיעה. היעדר אימות סוג הקובץ והסיומת המתאימים בקוד, מאפשר העלאה של קבצים שרירותיים המהווים סיכון אבטחה משמעותי.
כדי לצמצם את הפגיעות הזו הציג צוות הפיתוח של התוסף תיקון בגרסה 1.9.99. התיקון מיישם בדיקת הרשאות בנקודת הקצה המותאמת אישית של REST API ומשלב בדיקות סוג קובץ ותוספות באמצעות הפונקציה wp_check_filetype_and_ext. לאור ממצאים אלו, מומלץ מאד למשתמשי וורדפרס לעדכן את תוסף AI Engine שלהם לגרסה 1.9.99, כדי להבטיח שהמערכות שלהם מוגנות מפני פרצת אבטחה.
