Vulnerabilidad en AI Engine – The Chatbot y AI Framework para WordPress (CVE-2026-1400)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-434
Subida sin restricciones de ficheros de tipos peligrosos
Fecha de publicación:
28/01/2026
Última modificación:
15/04/2026
Descripción
El plugin AI Engine – The Chatbot and AI Framework para WordPress es vulnerable a cargas de archivos arbitrarias debido a la falta de validación del tipo de archivo en la función 'rest_helpers_update_media_metadata' en todas las versiones hasta, e incluyendo, 3.3.2. Esto hace posible que atacantes autenticados, con acceso de nivel Editor y superior, carguen archivos arbitrarios en el servidor del sitio afectado, lo que puede hacer posible la ejecución remota de código. El atacante puede cargar un archivo de imagen benigno, luego usar el endpoint 'update_media_metadata' para renombrarlo a un archivo PHP, creando un archivo PHP ejecutable en el directorio de cargas.
Impacto
Puntuación base 3.x
7.20
Gravedad 3.x
ALTA
Referencias a soluciones, herramientas e información
- https://plugins.trac.wordpress.org/browser/ai-engine/tags/3.3.0/classes/rest.php#L1104
- https://plugins.trac.wordpress.org/browser/ai-engine/tags/3.3.0/classes/rest.php#L1141
- https://plugins.trac.wordpress.org/changeset/3447500/ai-engine/trunk/classes/rest.php
- https://www.wordfence.com/threat-intel/vulnerabilities/id/d5227269-4406-4fcf-af37-f1db0af857d6?source=cve