Plataforma
wordpress
Componente
ai-engine
Corregido en
1.9.99
Se ha identificado una vulnerabilidad de Acceso Arbitrario a Archivos en el plugin AI Engine: ChatGPT Chatbot. Esta falla permite a un atacante subir archivos de tipos peligrosos, comprometiendo potencialmente la seguridad del sitio web. La vulnerabilidad afecta a versiones del plugin desde la versión inicial hasta la 1.9.98. Se recomienda actualizar a la última versión disponible o implementar medidas de mitigación.
La vulnerabilidad de Acceso Arbitrario a Archivos en AI Engine: ChatGPT Chatbot permite a un atacante subir archivos maliciosos al servidor web. Esto podría resultar en la ejecución remota de código, el robo de datos sensibles, la modificación de archivos del sistema o incluso la toma del control completo del servidor. Un atacante podría, por ejemplo, subir un shell web para obtener acceso persistente al sitio. La falta de validación adecuada del tipo de archivo es la causa raíz de esta vulnerabilidad, permitiendo la elusión de las medidas de seguridad estándar.
Esta vulnerabilidad ha sido publicada el 12 de abril de 2024. No se han reportado activamente campañas de explotación a gran escala, pero la naturaleza crítica de la vulnerabilidad (CVSS 10) y la facilidad de explotación la convierten en un objetivo atractivo para los atacantes. No se ha añadido a la lista KEV de CISA. Se recomienda monitorear activamente los sistemas afectados en busca de signos de compromiso.
WordPress websites hosting the Jordy Meow AI Engine: ChatGPT Chatbot plugin, particularly those running older versions (≤1.9.98), are at significant risk. Shared hosting environments where users have limited control over server configurations are also particularly vulnerable.
• wordpress / composer / npm:
grep -r "wp_handle_upload" /var/www/html/wp-content/plugins/ai-engine-chatgpt-chatbot/• generic web:
curl -I https://your-website.com/wp-content/uploads/ | grep Content-Type• wordpress / composer / npm:
wp plugin list --status=active | grep 'ai-engine-chatgpt-chatbot'disclosure
Estado del Exploit
EPSS
92.94% (100% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin AI Engine: ChatGPT Chatbot a la última versión disponible, que debería incluir una corrección para esta vulnerabilidad. Si la actualización no es posible de inmediato, se recomienda implementar controles de validación de archivos en el lado del servidor para restringir los tipos de archivos que se pueden subir. Esto puede incluir la verificación de la extensión del archivo, el tipo MIME y el contenido del archivo. Además, se recomienda configurar un firewall de aplicaciones web (WAF) para bloquear intentos de subir archivos maliciosos. Verifique después de la actualización que el plugin no permita la subida de archivos con extensiones peligrosas.
Actualice el plugin AI Engine: ChatGPT Chatbot a la última versión disponible. Esto solucionará la vulnerabilidad de carga de archivos arbitrarios no autenticada.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2023-51409 is a critical vulnerability in Jordy Meow AI Engine: ChatGPT Chatbot allowing attackers to upload any file type, potentially leading to code execution and system compromise. It affects versions up to 1.9.98.
If you are using Jordy Meow AI Engine: ChatGPT Chatbot version 1.9.98 or earlier, you are potentially affected by this vulnerability. Check your plugin version immediately.
Upgrade to the latest version of the Jordy Meow AI Engine: ChatGPT Chatbot plugin as soon as a patch is released. Until then, implement temporary workarounds like file type restrictions and WAF rules.
While active exploitation is not yet confirmed, the CRITICAL severity and public disclosure suggest a high likelihood of exploitation. Monitor security advisories and threat intelligence.
Refer to the Jordy Meow website and WordPress plugin repository for official advisories and updates regarding CVE-2023-51409.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.