【安全资讯】CVE-2024-10392：流行WordPress AI插件暴露于严重安全风险

概要：

近期，使用AI Power: Complete AI Pack插件的网站管理员被紧急提醒，需立即更新至最新版本，以修补一个可能导致网站完全接管的严重漏洞。该漏洞被追踪为CVE-2024-10392，CVSS评分高达9.8，允许未经身份验证的攻击者向易受攻击的网站上传任意文件，从而执行恶意代码并完全控制网站。

主要内容：

该漏洞源于插件的handle_image_upload函数缺乏文件类型验证。此函数用于处理与GPT-4模型的聊天中的图像上传，但未能充分检查上传文件的类型，导致攻击者可以上传伪装成图像的恶意PHP代码文件。由于上传的文件存储在公开可访问的WordPress上传文件夹中，攻击者可以执行这些代码，从而危害整个网站。

成功利用此漏洞可能导致严重后果，包括：网站篡改，攻击者可以更改网站内容或外观；数据泄露，敏感用户数据如登录凭证和财务信息可能被盗；恶意软件传播，攻击者可以利用被攻陷的网站向无辜访客分发恶意软件；搜索引擎排名操控，攻击者可能操控网站的SEO，损害其搜索引擎排名。

安全研究人员vgo0通过Wordfence漏洞悬赏计划发现并负责任地披露了此漏洞，获得了650美元的悬赏。AI Power: Complete AI Pack的开发者已在1.8.90版本中修复了此漏洞，所有用户被强烈建议立即更新至该版本。