AI Engine es un plugin popular para WordPress, con más de 100 000 instalaciones activas, que permite a los usuarios interactuar con modelos de inteligencia artificial a través de la API REST. A mediados de julio de 2025 se reportó una grave vulnerabilidad en este plugin que permite la carga de archivos arbitrarios cuando la REST API está habilitada.
- CVE-2025-7847 (CVSS 8.0 – Alta): En las versiones 2.9.3 y 2.9.4 del plugin AI Engine se identificó una funcionalidad (
rest_simpleFileUpload) que permite a un usuario autenticado con permisos de Suscriptor o superiores cargar archivos arbitrarios sin validaciones adecuadas. Esto podría permitir a un atacante subir scripts o binarios maliciosos, con la posibilidad de ejecutar código remotamente en el servidor afectado.
PRODUCTOS AFECTADOS
- Plugin AI Engine para WordPress, versiones 2.9.3 y 2.9.4 (con REST API habilitada).
SOLUCIÓN
- Actualizar el plugin AI Engine a la versión 2.9.5 o superior, donde se ha corregido la validación del método
rest_simpleFileUploady se ha restringido la carga solo a archivos seguros. Mientras se realiza la actualización, se recomienda deshabilitar el endpoint REST o restringir el acceso a usuarios de mayor confianza.
RECOMENDACIONES
- Instalar inmediatamente la versión 2.9.5 o posterior del plugin AI Engine.
- Restringir el acceso al endpoint REST
rest_simpleFileUploadexclusivamente a roles confiables. - Deshabilitar el plugin si no es indispensable o si no se utiliza la REST API.
- Revisar los registros de acceso y actividad para detectar intentos de carga sospechosos.
Referencias
- https://www.infosecurity-magazine.com/news/flaw-ai-plugin-exposes-50000-wp/?utm_source=chatgpt.com
- https://www.wordfence.com/blog/2025/07/100000-wordpress-sites-affected-by-arbitrary-file-upload-vulnerability-in-ai-engine-wordpress-plugin/?utm_source=chatgpt.com
- https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/ai-engine/ai-engine-284-insecure-oauth-implementation?utm_source=chatgpt.com