Apa yang terjadi
Kerentanan eskalasi hak istimewa kritis (CVSS 9.8) diungkapkan dalam plugin AI pembuatan konten WordPress, disebabkan oleh pemeriksaan izin yang hilang pada fungsi yang memanggil layanan Google AI.
Mengapa penting
Plugin AI WordPress banyak dipasang di situs kecil hingga menengah dengan operasi keamanan terbatas; pemeriksaan kemampuan yang hilang pada endpoint integrasi AI memungkinkan aktor dengan hak istimewa rendah atau tidak diautentikasi untuk menyalahgunakan kredensial AI/Google API situs yang terhubung atau meningkatkan hak istimewa dalam CMS.
Vektor serangan
Fungsi aiomatic_call_google_ai_function plugin kurang pemeriksaan kemampuan, membiarkan penyerang dengan hak istimewa minimal (misalnya Subscriber-level) memanggil fungsi integrasi AI istimewa yang hanya dimaksudkan untuk administrator.
Sistem yang terdampak
Aimogen Pro – All-in-One AI Content Writer, Editor, ChatBot & Automation Toolkit (plugin WordPress) hingga dan termasuk 2.8.4
Mitigasi
Perbarui plugin Aimogen Pro / AIomatic ke versi yang memulihkan pemeriksaan kemampuan yang hilang per changelog vendor.