WordPress AI Power 插件高危漏洞CVE-2024-10392

AI Power 是一款适用于WordPress 一体化人工智能解决方案，这款插件的活跃安装量已达10,000+，是一款时下流行的 WordPress 插件。

AI Power 插件配备有OpenAI 的 GPT-4 和 GPT-3.5 等模型，以及Claude、Gemini、Azure、Grok、Mistral、LLaMA、Yi Chat 和 Alpaca。

一、基本情况

AI Power使用o1-mini、o1-preview、GPT-3.5、GPT-4、GPT-4o、GPT-4o-mini、GPT-4 Vision、Gemini 1.5 Flash、Anthropic工具生成。

利用该插件可以生成具有可定制选项的内容、图像和表单，插件功能还包括人工智能培训、聊天小部件、WooCommerce集成、嵌入等。

栋科技漏洞库关注到AI Power插件近期发布1.8.90版本更新，修复一个任意文件上传漏洞，漏洞追踪为CVE-2024-10392，CVSS评分9.8。

二、漏洞分析

CVE-2024-10392漏洞源于插件handle_image_upload函数缺乏文件类型验证，允许未经身份验证攻击者向易受攻击的网站上传任意文件。

此函数用于处理与GPT-4模型的聊天中的图像上传，但未能充分检查上传文件的类型导致攻击者可以上传伪装成图像的恶意PHP代码文件。

由于其上传的文件存储在公开可访问的WordPress上传文件夹中，因此攻击者可以执行上传的恶意代码，从而使得远程代码执行成为可能。

成功利用该漏洞的后果极其严重，攻击者可直接篡改网站的内容或者外观，泄露如登录凭证和财务信息在内的敏感信息，分发恶意软件等。

漏洞存在于1.8.89及之前所有版本中，安全研究人员 vgo0 通过 Wordfence 漏洞悬赏计划发现并负责任地披露漏洞，获得了650美元悬赏。

AI Power：Complete AI Pack 的开发人员已在 1.8.90 版本中修复了此漏洞，并且强烈建议所有用户立即更新至该版本或更新的修补版本。

三、漏洞影响

AI Power：Complete AI Pack <= 1.8.89

四、修复建议

AI Power：Complete AI Pack >= 90.1.8

五、参考链接

https://plugins.trac.wordpress.org/changeset/3176122/gpt3-ai-content-generator#file508

https://www.wordfence.com/threat-intel/vulnerabilities/id/cd8a45c9-ca48-4ea6-b34e-f05206f16155?source=cve