事件经过
披露了WordPress AI内容生成插件中的严重(CVSS 9.8)特权升级漏洞,由调用Google AI服务的函数上缺少权限检查引起。
影响分析
WordPress AI插件在安全运营有限的中小型站点上广泛安装;AI集成端点上缺少功能检查让低特权或未经身份验证的行为者滥用站点连接的AI/Google API凭证或在CMS内升级特权。
攻击途径
该插件的aiomatic_call_google_ai_function缺少功能检查,让具有最少特权的攻击者(例如Subscriber级别)调用仅供管理员使用的特权AI集成函数。
受影响系统
Aimogen Pro——一体化AI内容编写器、编辑器、ChatBot和自动化工具包(WordPress插件)至2.8.4
缓解措施
将Aimogen Pro / AIomatic插件更新到恢复缺失功能检查的版本,根据供应商更新日志。