V červenci 2025 bezpečnostní tým Wordfence identifikoval závažnou zranitelnost typu „arbitrary file upload“ v pluginu AI Engine pro WordPress, která postihuje přibližně 100 000 instalací. Tato chyba umožňovala útočníkům nahrávat libovolné soubory (např. PHP) bez přihlášení a může vést i k úplnému převzetí kontroly nad webem.
Popis zranitelnosti
1. Co je arbitrary file upload
Jedná se o chybu, kdy plugin umožňuje nahrání souboru bez validace – útočník může uploadovat škodlivý soubor (např. PHP) do serveru, který se následně spustí, což může vést k vzdálenému spuštění kódu (RCE) nebo ovládnutí celé instalace WordPressu.
2. Konkrétní mechanismus v pluginu AI Engine
- Chyba spočívala v REST API endpointu
/mwai-ui/v1/files/upload, kde nebyla žádná validace typu souboru ani oprávnění. permission_callbackbyl nastaven na__return_true, takže ho mohl volat kdokoliv, i bez přihlášení.- Útočník mohl nahrát PHP soubor do veřejné složky a poté jej spustit přímo přes URL.
Chyba byla opravena ve verzi 2.9.5. Všechny předchozí verze jsou zranitelné.
Dopady a rizika
- Útočník může získat plnou kontrolu nad webem nahráním a spuštěním PHP souboru.
- Může dojít k krádeži dat, defacementu nebo připojení webu do botnetu.
- Zranitelnost byla aktivně zneužívána již před zveřejněním opravy.
Zranitelnosti shrnuté v bodech
| Název chyby | Oprávnění | Možnosti útočníka | Oprava |
|---|---|---|---|
| Arbitrary file upload | Bez přihlášení | Nahrání PHP/XSS souboru | Validace typu souboru |
| Chybějící kontrola oprávnění | REST API dostupné všem | Volání API bez omezení | permission_callback |
Jak se zranitelnost řeší
- Aktualizujte plugin AI Engine na verzi 2.9.5 nebo vyšší.
- Pokud používáte bezpečnostní plugin (např. Wordfence), ověřte, že máte aktivní WAF a aktuální pravidla.
- Omezte práva pro nahrávání souborů – platí především pro REST API a nezaregistrované uživatele.
- Kontrolujte logy, nahrané soubory a neznámé PHP skripty v adresáři
wp-content/uploads.
Doporučení pro správce
Pokud na svém webu používáte plugin AI Engine:
- Okamžitě aktualizujte na nejnovější verzi (minimálně 2.9.5).
- Ověřte, že máte aktivní bezpečnostní plugin a pravidla firewallu (např. Wordfence).
- Sledujte oznámení vývojářů pluginů a pravidelně provádějte aktualizace.
Závěr
Zranitelnost v pluginu AI Engine umožňovala neautorizovaný upload souborů a potenciální ovládnutí webu. Byla opravena ve verzi 2.9.5, a všem uživatelům se důrazně doporučuje okamžitá aktualizace. Tento incident opět ukazuje, jak důležitá je pravidelná údržba, bezpečnostní pluginy a kontrola REST API přístupů.
Potřebujete-li pomoc s kontrolou nebo zabezpečením vašeho webu, neváhejte mě kontaktovat.
