Выпущено предупреждение о потенциальной угрозе безопасности для плагина AI Engine WordPress, который используется примерно на 100,000 сайтах. Это четвёртое такое предупреждение за этот месяц. С оценкой 8.8 данная уязвимость позволяет пользователям с уровнем доступа subscriber загружать вредоносные файлы в систему при активированном REST API. ⚠
Купил акции на все деньги, а они упали? А Илон Маск снова написал твит? Знакомо. У нас тут клуб тех, кто пытается понять этот цирк и не сойти с ума.
Купить на падении (нет)Плагин AI Engine: пятая уязвимость в 2025 году
В июле 2025 года мы обнаружили нашу четвертую проблему безопасности в плагине AI Engine, добавив к трем другим, выявленным ранее в этом году. Таким образом, общее количество уязвимостей, обнаруженных в плагине за 2025 год, достигло пяти. Интересно отметить, что в 2024 году было обнаружено девять подобных проблем. Одна из них была особенно серьезной и имела оценку 9.8, так как позволяла неавторизованным злоумышленникам загружать вредоносные файлы. Кроме того, еще одна проблема с оценкой 9.1 также давала возможность произвольной загрузки файлов.
Аутентифицированная загрузка произвольных файлов (подписчик+)
Недавняя ошибка позволяет аутентифицированным пользователям загружать файлы. Уровень угрозы увеличивается из-за того, что учетные данные даже обычного подписчика достаточны для использования этой уязвимости системы безопасности. Хотя это не так критично, как ненаутентическая уязвимость, она всё равно оценивается в 8,8 по шкале от 1 до 10.
Wordfence объясняет, что уязвимость вызвана отсутствием проверки типа файла в определенной функции, связанной с REST API, затрагивающей версии 2.9.3 и 2.9.4.
Проверка типа файла — распространенная мера безопасности, используемая в WordPress, гарантирующая соответствие содержимого загруженного файла типу файла, предназначенному для веб-сайта.
Согласно Wordfence:
Аутентифицированные злоумышленники, имеющие доступ уровня подписчика или выше, могут загружать любые файлы на сервер затронутого веб-сайта при активации REST API. Это действие потенциально может позволить выполнение удаленного кода.
Для тех, кто использует плагин AI Engine, рекомендуется обновить ваш плагин до последней версии, которая составляет 2.9.5, или любых последующих версий, которые могут быть доступны.
Решение: Мы устранили проблему безопасности, связанную с SSRF (Server-Side Request Forgery), путем проверки форматов URL в процессе аудио транскрипции и защиты параметров REST API для предотвращения несанкционированного использования ключей API.
Решено: Усилена системная безопасность путем внедрения строгой проверки типов файлов для запрета несанкционированного выполнения PHP-скриптов во время загрузки файлов.
Смотрите также
- Анализ динамики цен на криптовалюту BONK: прогнозы BONK
- Шок вызывает массовую продажу XRP, что ведет к хаосу на рынке — цена упадет или это просто улов?
- Анализ динамики цен на криптовалюту HYPE: прогнозы HYPE
- Акции PHOR. ФосАгро: прогноз акций.
- Акции BLNG. Белон: прогноз акций.
- Уточнения запросов Google Рекламы в рекламной карусели
- Google рассылает рекламодателям электронные письма об ошибке в рекламе и просит рекламодателей удалить ваши рекламные данные
- Google Исправлен отчет по фрагментам продуктов в консоли поиска Google
- Google тестирует часто сохраняемые метки в фрагментах результатов поиска
- Министерство юстиции заявляет, что Google контролирует 91% рекламного рынка; Гугл говорит 10%
2025-07-31 00:08