Un avis de sécurité a été émis pour le plugin WordPress AI Engine, installé sur plus de 100 000 sites Web, le quatrième ce mois-ci. Notée 8,8, cette vulnérabilité permet aux attaquants disposant uniquement d’une authentification au niveau de l’abonné de télécharger des fichiers malveillants lorsque l’API REST est activée.
Plugin AI Engine : cinquième vulnérabilité en 2025
Il s’agit de la quatrième vulnérabilité découverte dans le plugin AI Engine en juillet, après la première de l’année découverte en juin, soit un total de cinq vulnérabilités découvertes dans le plugin jusqu’à présent en 2025. Neuf vulnérabilités ont été découvertes en 2024, dont l’une a été notée 9,8 car elle permettait à des attaquants non authentifiés de télécharger des fichiers malveillants, plus une autre notée 9,1 qui permettait également des téléchargements arbitraires.
Téléchargement arbitraire de fichiers authentifiés (Abonné+)
La dernière vulnérabilité permet le téléchargement de fichiers authentifiés. Ce qui rend cet exploit plus dangereux, c’est qu’il nécessite uniquement une authentification au niveau de l’abonné pour qu’un attaquant puisse profiter de la faille de sécurité. Ce n’est pas aussi grave qu’une vulnérabilité qui ne nécessite pas d’authentification, mais elle est quand même notée 8,8 sur une échelle de 1 à 10.
Wordfence décrit la vulnérabilité comme étant due à une validation manquante du type de fichier dans une fonction liée à l’API REST dans les versions 2.9.3 et 2.9.4.
La validation du type de fichier est une mesure de sécurité généralement utilisée dans WordPress pour garantir que le contenu d’un fichier correspond au type de fichier téléchargé sur le site Web.
Selon Wordfence :
« Cela permet aux attaquants authentifiés, disposant d’un accès au niveau de l’abonné et supérieur, de télécharger des fichiers arbitraires sur le serveur du site concerné lorsque l’API REST est activée, ce qui peut rendre possible l’exécution de code à distance. »
Il est recommandé aux utilisateurs du plugin AI Engine de mettre à jour leur plugin vers la dernière version, 2.9.5, ou une version plus récente.
Le journal des modifications du plugin pour la version 2.9.5 partage ce qui a été mis à jour :
« Correction : résolution d’un problème de sécurité lié à SSRF en validant les schémas d’URL dans la transcription audio et en nettoyant les paramètres de l’API REST pour empêcher toute utilisation abusive de la clé API.
Correctif : correction d’une vulnérabilité de sécurité critique qui permettait des téléchargements de fichiers non autorisés en ajoutant une validation stricte du type de fichier pour empêcher l’exécution de PHP.
Image en vedette par Shutterstock/Jiri Hera