The AI Engine – The Chatbot and AI Framework for WordPress plugin for WordPress is vulnerable to arbitrary file uploads due to missing file type validation in the `rest_helpers_update_media_metadata` function in all versions up to, and including, 3.3.2. This makes it possible for authenticated attackers, with Editor-level access and above, to upload arbitrary files on the affected site's server which may make remote code execution possible. The attacker can upload a benign image file, then use the `update_media_metadata` endpoint to rename it to a PHP file, creating an executable PHP file in the uploads directory.
The AI Engine WordPress plugin versions up to 3.3.2 contain an arbitrary file upload vulnerability in the rest_helpers_update_media_metadata function that allows authenticated Editor-level users to upload and rename files to PHP executables. This vulnerability can lead to remote code execution on affected WordPress sites.
يحتوي مكون AI Engine للـ WordPress على ثغرة في دالة rest_helpers_update_media_metadata تسمح بتحميل ملفات تعسفية وإعادة تسميتها. يمكن للمهاجمين المصرح لهم بمستوى محرر أو أعلى تحميل ملف صورة عادي ثم استخدام نقطة نهاية update_media_metadata لإعادة تسميته إلى ملف PHP قابل للتنفيذ.
ثغرة تحميل ملفات تعسفية في مكون AI Engine لـ WordPress تصل إلى الإصدار 3.3.2 تسمح للمستخدمين بمستوى محرر بتحميل وإعادة تسمية الملفات إلى ملفات PHP قابلة للتنفيذ. يمكن لهذه الثغرة أن تؤدي إلى تنفيذ أكواد بعيدة على مواقع WordPress المتأثرة.
Update the AI Engine plugin to version 3.3.3 or later immediately. Implement strict file type validation on the server-side for all file uploads. Restrict file upload permissions to trusted users only. Monitor uploads directory for suspicious PHP files. Consider using Web Application Firewall rules to block PHP file uploads in media directories.
قم بتحديث مكون AI Engine إلى الإصدار 3.3.3 أو أحدث فوراً. طبق التحقق الصارم من نوع الملف على جانب الخادم لجميع عمليات التحميل. قيد صلاحيات تحميل الملفات للمستخدمين الموثوقين فقط. راقب دليل التحميلات بحثاً عن ملفات PHP المريبة. فكر في استخدام قواعد جدار الحماية لتطبيقات الويب لحظر تحميل ملفات PHP في أدلة الوسائط.