En este informe de seguridad, se ha descubierto que el plugin AI Engine: Chatbots, Generators, Assistants, GPT 4 and more! para WordPress es vulnerable a la subida arbitraria de archivos debido a la falta de validación del tipo de archivo en la función ‘add_image_from_url’ en todas las versiones hasta y incluyendo la 2.1.4. Esto permite que atacantes autenticados con acceso de Editor o superior suban archivos arbitrarios al servidor del sitio afectado, lo que puede permitir la ejecución remota de código.
La falta de validación del tipo de archivo en la función ‘add_image_from_url’ del plugin AI Engine <= 2.1.4 permite a los atacantes autenticados y con acceso de Editor o superior subir cualquier archivo al servidor del sitio afectado. Esto puede incluir archivos maliciosos que pueden permitir la ejecución remota de código en el servidor.
Para subsanar este problema, los usuarios afectados deben actualizar el plugin a la última versión disponible, que incluye la validación adecuada del tipo de archivo en la función 'add_image_from_url'. Además, se recomienda revisar los archivos existentes en el servidor en busca de posibles archivos no deseados subidos anteriormente y eliminarlos de forma segura.
Además, los usuarios deben ser cautelosos al otorgar privilegios de Editor o superiores a usuarios desconocidos o no confiables, ya que esto puede permitir que aprovechen esta vulnerabilidad para realizar subidas de archivos arbitrarias.
La vulnerabilidad de subida arbitraria de archivos en el plugin AI Engine <= 2.1.4 puede resultar en graves riesgos de seguridad para los sitios web afectados. Al actualizar el plugin a la última versión disponible y realizar una limpieza de archivos no deseados en el servidor, los usuarios pueden mitigar este riesgo y proteger sus sitios web contra posibles ataques de ejecución remota de código.
Recuerda siempre mantener tus plugins y temas actualizados, y revisar regularmente la seguridad de tu sitio para prevenir posibles vulnerabilidades.
