何が起きたか
WordPress AI コンテンツ生成プラグインの重大な (CVSS 9.8) 権限昇格脆弱性が開示されました。Google AI サービスを呼び出す関数の権限チェック欠如が原因です。
なぜ重要か
WordPress AI プラグインは限定的なセキュリティ運用を備えた小~中規模サイトに広くインストールされています。AI 統合エンドポイントの機能チェック欠如により、低い権限またはエージェント作成者が、サイトの接続された AI/Google API 認証情報を悪用したり、CMS 内で権限を昇格させたりすることができます。
攻撃経路
プラグインの aiomatic_call_google_ai_function には機能チェックがなく、最小限の権限を持つ攻撃者 (例:購読者レベル) が管理者のみを対象とした特権 AI 統合機能を呼び出すことができます。
影響を受けるシステム
Aimogen Pro – All-in-One AI Content Writer, Editor, ChatBot & Automation Toolkit (WordPress プラグイン) 2.8.4 を含む以前のバージョン
緩和策
Aimogen Pro / AIomatic プラグインを、ベンダーのチェンジログあたり不足していた機能チェックを復元するバージョンに更新してください。