Une **alerte de sécurité** a été publiée concernant le plugin AI Engine pour WordPress, qui est installé sur plus de 100 000 sites web. Il s’agit de la quatrième vulnérabilité signalée ce mois-ci. Avec une **note de 8.8**, cette faille permet à des attaquants disposant d’une authentification de niveau abonné de télécharger des fichiers malveillants lorsque l’API REST est activée.

Plugin AI Engine : Cinquième vulnérabilité en 2025

Cette vulnérabilité est la quatrième mise en lumière concernant le plugin AI Engine en juillet, suite à celle détectée en juin, portant à cinq le nombre total de failles découvertes dans ce plugin en 2025. En 2024, neuf vulnérabilités ont été identifiées, dont l’une a été notée 9.8 car elle permettait à des attaquants non authentifiés de télécharger des fichiers malveillants, et une autre évaluée à 9.1 qui autorisait également des **téléchargements arbitraires**.

Téléchargement de fichiers arbitraires avec authentification (niveau abonné et plus)

La vulnérabilité récente permet des **téléchargements de fichiers authentifiés**. Ce qui rend cette faille particulièrement préoccupante, c’est qu’elle nécessite seulement une authentification de niveau abonné pour qu’un attaquant puisse exploiter cette faiblesse. Bien que cela soit moins grave qu’une vulnérabilité ne nécessitant pas d’authentification, elle est tout de même classée à 8.8 sur une échelle de 1 à 10.

Wordfence décrit cette vulnérabilité comme résultant d’une **absence de validation des types de fichiers** dans une fonction liée à l’API REST dans les versions 2.9.3 et 2.9.4.

La validation des types de fichiers est une mesure de sécurité couramment utilisée dans WordPress pour s’assurer que le contenu d’un fichier correspond bien au type de fichier téléchargé sur le site.

Selon Wordfence :

« Cela permet à des attaquants authentifiés, avec un accès de niveau abonné et au-delà, de télécharger des fichiers arbitraires sur le serveur du site affecté lorsque l’API REST est activée, ce qui pourrait rendre l’exécution de code à distance possible. »

Les utilisateurs du plugin AI Engine sont vivement encouragés à mettre à jour leur plugin vers la version la plus récente, 2.9.5, ou une version ultérieure.

Le journal des modifications du plugin pour la version 2.9.5 précise les mises à jour effectuées :

« Correction : Résolution d’un problème de sécurité lié au SSRF en validant les schémas d’URL dans la transcription audio et en assainissant les paramètres de l’API REST pour éviter l’utilisation abusive des clés API.

Correction : Correction d’une vulnérabilité de sécurité critique qui permettait des téléchargements de fichiers non autorisés en ajoutant une validation stricte des types de fichiers pour prévenir l’exécution PHP. »

Image d’illustration par Shutterstock/Jiri Hera