【安全资讯】CVE-2024-10392:流行WordPress AI插件暴露于严重安全风险

安恒恒脑 2024-10-31 19:03:29 269人浏览

概要:

近期,使用AI Power: Complete AI Pack插件的网站管理员被紧急提醒,需立即更新至最新版本,以修补一个可能导致网站完全接管的严重漏洞。该漏洞被追踪为CVE-2024-10392,CVSS评分高达9.8,允许未经身份验证的攻击者向易受攻击的网站上传任意文件,从而执行恶意代码并完全控制网站。

主要内容:

该漏洞源于插件的handle_image_upload函数缺乏文件类型验证。此函数用于处理与GPT-4模型的聊天中的图像上传,但未能充分检查上传文件的类型,导致攻击者可以上传伪装成图像的恶意PHP代码文件。由于上传的文件存储在公开可访问的WordPress上传文件夹中,攻击者可以执行这些代码,从而危害整个网站。

成功利用此漏洞可能导致严重后果,包括:网站篡改,攻击者可以更改网站内容或外观;数据泄露,敏感用户数据如登录凭证和财务信息可能被盗;恶意软件传播,攻击者可以利用被攻陷的网站向无辜访客分发恶意软件;搜索引擎排名操控,攻击者可能操控网站的SEO,损害其搜索引擎排名。

安全研究人员vgo0通过Wordfence漏洞悬赏计划发现并负责任地披露了此漏洞,获得了650美元的悬赏。AI Power: Complete AI Pack的开发者已在1.8.90版本中修复了此漏洞,所有用户被强烈建议立即更新至该版本。
系统漏洞利用 数据泄露 科技公司 IT行业
    0条评论
    0
    0
    分享
    安全星图平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。