新媒网 · 跨境数据社区

一款名为AI Engine的WordPress插件近日被曝存在安全漏洞，该插件在全球范围内被超过10万个网站使用。值得关注的是，这是本月该插件被发现的第四个漏洞。

该漏洞的评级高达8.8分（评分范围为1-10），攻击者只需获得订阅者级别的验证权限，并在REST API开启的状态下，即可上传恶意文件，对网站安全构成严重威胁。

年内第五次发现漏洞

AI Engine插件在2025年已经多次出现安全问题。在今年6月首次发现漏洞后，仅7月份就接连曝出四个漏洞。这意味着，截至目前，2025年已累计发现该插件的五个安全漏洞。

回顾2024年，AI Engine插件曾被发现九个漏洞，其中一个漏洞的评级高达9.8分，原因是它允许未经身份验证的攻击者上传恶意文件。另有一个评级为9.1分的漏洞，同样允许任意文件上传。

订阅者权限即可上传恶意文件

本次发现的最新漏洞，允许已通过身份验证的用户上传文件。更令人担忧的是，利用此漏洞的门槛极低，攻击者只需拥有订阅者级别的权限即可。

尽管这不如无需身份验证的漏洞那样危险，但8.8分的评级仍然表明其潜在危害不容小觑。

据安全公司Wordfence的分析，该漏洞源于AI Engine插件2.9.3和2.9.4版本中与REST API相关的函数缺少文件类型验证。文件类型验证是一种常见的安全措施，用于确保上传文件的内容与其宣称的类型相符，从而防止恶意文件被上传至网站。

Wordfence指出：“这使得已通过身份验证的攻击者，只需拥有订阅者及以上级别的访问权限，即可在受影响网站的服务器上上传任意文件（在REST API开启的情况下），这可能导致远程代码执行。” 新媒网跨境了解到，远程代码执行是指攻击者能够在目标服务器上运行恶意代码，从而完全控制该服务器。

尽快更新至最新版本

为了修复这些安全隐患，AI Engine插件的用户务必尽快将插件更新至最新版本，即2.9.5或更高版本。

在新版本2.9.5的更新日志中，官方详细说明了本次更新的内容：

• 修复：通过验证音频转录中的URL schemes并清理REST API参数，以防止API密钥被滥用，从而解决了与服务器端请求伪造（SSRF）相关的安全问题。
• 修复：修复了一个关键的安全漏洞，该漏洞允许未经授权的文件上传，通过添加严格的文件类型验证来防止PHP执行。

新媒网跨境认为，及时更新软件是防范网络安全风险的重要措施之一。

新媒网（公号: 新媒网跨境发布），是一个专业的跨境电商、游戏、支付、贸易和广告社区平台，为百万跨境人传递最新的海外淘金精准资讯情报。

本文来源：新媒网 https://nmedialink.com/posts/8335.html