Vulnerabilidad crítica en el plugin AI Engine de WordPress, afecta a 100.000 sitios web

Escrito por / 22 de octubre de 2025 / Noticias Hacking y Seguridad Informática / Vulnerabilidad, Wordpress

El popular plugin AI Engine para WordPress ha sido reportado con una vulnerabilidad de alta severidad (8.8/10) que podría afectar hasta 100,000 sitios web.

Este es el quinto fallo de seguridad descubierto en este plugin durante 2025, con cuatro vulnerabilidades solo en julio.

Detalles de la vulnerabilidad

El fallo permite a atacantes autenticados con nivel de suscriptor subir archivos maliciosos al servidor cuando la REST API está habilitada.

Aunque requiere autenticación, la facilidad con la que usuarios con permisos bajos pueden explotar esta vulnerabilidad hace que sea especialmente crítica.

Según Wordfence:

“Esto hace posible que atacantes autenticados, con acceso de nivel suscriptor o superior, suban archivos arbitrarios al servidor del sitio afectado cuando la REST API está habilitada, lo que puede permitir ejecución remota de código.”

El problema se debe a validaciones de tipo de archivo faltantes en las versiones 2.9.3 y 2.9.4, lo que permitía subir archivos con contenido peligroso al servidor.

Medidas correctivas en la versión 2.9.5

El equipo de AI Engine lanzó la versión 2.9.5 para corregir esta vulnerabilidad. Según el changelog:

  • Validación de esquemas de URL en la transcripción de audio y sanitización de parámetros REST API para evitar uso indebido de claves.
  • Implementación estricta de validación de tipos de archivo para prevenir la ejecución de PHP no autorizada.

Se recomienda a todos los usuarios actualizar inmediatamente a la última versión disponible del plugin.

Impacto y recomendaciones de seguridad

  • Hasta 100,000 sitios potencialmente afectados.
  • Vulnerabilidad permite subida de archivos arbitrarios por usuarios de bajo nivel.
  • Mantener plugins siempre actualizados desde fuentes oficiales.
  • Revisar roles de usuario y restringir permisos innecesarios.
  • Realizar copias de seguridad periódicas antes de actualizar o instalar plugins.

Esta vulnerabilidad refuerza la importancia de la seguridad proactiva en WordPress y de actuar rápidamente ante avisos de seguridad publicados por proveedores confiables.

Vistas: 0

🔥 LO MÁS VISTO DE ESTA CATEGORÍA