خطر اجرای کد از راه دور در افزونه AI Engine

یک آسیب‌پذیری امنیتی با شناسه CVE-2026-1400 در افزونه AI Engine – The Chatbot and AI Framework for WordPress شناسایی شده که ناشی از نبود اعتبارسنجی نوع فایل در تابع rest_helpers_update_media_metadata است. این نقص که نسخه‌های تا ۳.۳.۲ را تحت تأثیر قرار می‌دهد، به کاربران دارای سطح دسترسی Editor و بالاتر امکان می‌دهد فایل‌های دلخواه را ابتدا به‌صورت تصویر بارگذاری کرده و سپس با تغییر متادیتا به فایل PHP اجرایی تبدیل کنند؛ سناریویی که می‌تواند به اجرای کد از راه دور (RCE)، سرقت داده و تخریب وب‌سایت منجر شود. امتیاز CVSS ارائه‌شده توسط Wordfence برابر ۷.۲ (High) است و ضعف مرتبط با CWE-434 (بارگذاری نامحدود فایل با نوع خطرناک) طبقه‌بندی شده است.

در تازه‌ترین گزارش‌های امنیتی، یک نقص مهم در افزونه AI Engine – The Chatbot and AI Framework for WordPress شناسایی شده که می‌تواند امنیت وب‌سایت‌های مبتنی بر وردپرس را به‌طور جدی تهدید کند. این آسیب‌پذیری با شناسه CVE-2026-1400 در پایگاه داده ملی آسیب‌پذیری‌ها (NVD) ثبت شده و در وضعیت «در انتظار تحلیل» برای غنی‌سازی اطلاعات قرار دارد. با این حال، جزئیات فنی منتشرشده از سوی Wordfence تصویر روشنی از ریسک عملیاتی آن ارائه می‌دهد.

افزونه AI Engine که برای افزودن قابلیت‌های چت‌بات و چارچوب‌های هوش مصنوعی به وب سایت وردپرس استفاده می‌شود، در نسخه‌های تا ۳.۳.۲ دارای ضعف در فرآیند مدیریت متادیتای رسانه است. به‌طور مشخص، تابع rest_helpers_update_media_metadata فاقد کنترل‌های لازم برای اعتبارسنجی نوع فایل است. این کاستی باعث می‌شود مهاجمِ دارای دسترسی احراز هویت‌شده (Editor و بالاتر) بتواند ابتدا یک فایل ظاهراً بی‌خطر (مانند تصویر) را بارگذاری کند و سپس از طریق Endpoint مربوط به به‌روزرسانی متادیتا، نام و نوع آن را به یک فایل PHP تغییر دهد. نتیجه، ایجاد یک فایل اجرایی PHP در دایرکتوری uploads است که می‌تواند توسط وب‌سرور اجرا شود.

از منظر مدل تهدید، این آسیب‌پذیری در دسته «بارگذاری نامحدود فایل با نوع خطرناک» (CWE-434) قرار می‌گیرد؛ ضعفی شناخته‌شده که در صورت ترکیب با پیکربندی‌های رایج سرور (اجرای PHP در مسیر uploads) به اجرای کد از راه دور منجر می‌شود. هرچند برای بهره‌برداری از این نقص نیاز به احراز هویت و سطح دسترسی Editor وجود دارد، اما در بسیاری از سایت‌ها این نقش به نویسندگان ارشد، مدیران محتوا یا کاربران افزوده‌شده برای تولید محتوا واگذار می‌شود و همین موضوع سطح ریسک را افزایش می‌دهد؛ به‌ویژه در سایت‌های رسانه‌ای یا فروشگاهی با گردش‌کار چندنویسنده‌ای.

امتیازدهی شدت آسیب‌پذیری نیز نشان‌دهنده خطر قابل‌توجه است. Wordfence به‌عنوان CNA امتیاز پایه ۷.۲ (High) را با بردار CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H اعلام کرده است. این بردار نشان می‌دهد که حمله از راه دور (AV:N) با پیچیدگی پایین (AC:L) انجام‌پذیر است، نیاز به تعامل کاربر ندارد (UI:N)، اما به امتیازات بالا (PR:H) متکی است. پیامدهای موفقیت‌آمیز بودن حمله نیز شدید ارزیابی شده‌اند: افشای اطلاعات (C:H)، دستکاری داده‌ها (I:H) و از کاراندازی سرویس (A:H). اختلاف اشاره‌شده بین امتیاز CVSS در NVD و CNA به‌معنای تفاوت در منبع امتیازدهی است و معمولاً در مراحل اولیه ثبت CVE رخ می‌دهد تا زمانی که NVD تحلیل نهایی خود را تکمیل کند.

از منظر فنی، مسیر بهره‌برداری به این صورت است که مهاجم یک فایل تصویری معتبر (مثلاً JPG) را از طریق مکانیزم‌های استاندارد بارگذاری رسانه در وردپرس آپلود می‌کند. سپس با فراخوانی Endpoint REST مربوط به update_media_metadata، نام فایل را به پسوند PHP تغییر می‌دهد. در صورت عدم وجود محدودیت‌های اضافی در وب‌سرور (مانند غیرفعال بودن اجرای PHP در uploads)، فایل ایجادشده قابلیت اجرا خواهد داشت. این الگو مشابه حملات کلاسیک «تغییر نام پس از آپلود» است که بارها در اکوسیستم‌های وب مشاهده شده و نشان می‌دهد چرا اعتبارسنجی نوع فایل باید هم در سمت کلاینت و هم سمت سرور مجازی وردپرس ، و نیز در همه مسیرهای به‌روزرسانی متادیتا اعمال شود.

پیامدهای عملی این نقص می‌تواند گسترده باشد. در سناریوهای بدبینانه، مهاجم پس از اجرای کد از راه دور قادر است وب‌شل نصب کند، دسترسی پایدار به سرور به‌دست آورد، داده‌های حساس (مانند اطلاعات کاربران یا پیکربندی‌ها) را استخراج کند، بدافزار تزریق کند یا وب‌سایت را به سکوی پرش برای حملات بعدی تبدیل نماید. در سایت‌های فروشگاهی، این موضوع می‌تواند به سرقت اطلاعات سفارش‌ها و مشتریان منجر شود؛ و در سایت‌های سازمانی، افشای اسناد داخلی یا اعتبارنامه‌ها را در پی داشته باشد.

نکته مهم دیگر، نقش پیکربندی هاست وردپرس و سیاست‌های امنیتی مکمل است. حتی اگر افزونه دارای نقص باشد، اقداماتی مانند جلوگیری از اجرای PHP در دایرکتوری uploads، اعمال محدودیت‌های سخت‌گیرانه روی REST API، و اصل حداقل دسترسی برای نقش‌های کاربری می‌تواند احتمال بهره‌برداری موفق را کاهش دهد. با این حال، اتکا به کنترل‌های جبرانی نباید جایگزین اصلاح نقص در کد افزونه شود.

در بخش ارجاعات فنی، Wordfence لینک‌های مستقیمی به کد منبع افزونه در مخزن رسمی وردپرس و تغییرات اعمال‌شده ارائه کرده است. بررسی این تغییرات نشان می‌دهد که توسعه‌دهنده افزونه در نسخه‌های بعدی با افزودن کنترل‌های اعتبارسنجی نوع فایل و محدودسازی تغییر نام به پسوندهای مجاز، تلاش کرده مسیر سوءاستفاده را مسدود کند. با توجه به اینکه آسیب‌پذیری نسخه‌های تا ۳.۳.۲ را شامل می‌شود، به‌روزرسانی فوری به نسخه اصلاح‌شده برای تمامی کاربران این افزونه توصیه می‌شود.

از منظر مدیریت ریسک سازمانی، این رویداد بار دیگر اهمیت پایش مداوم افزونه‌ها، اعمال سیاست‌های به‌روزرسانی منظم، و بازبینی نقش‌های کاربری در وردپرس را برجسته می‌کند. بسیاری از حملات موفق به CMSها نه از طریق نقص‌های «بدون احراز هویت»، بلکه با سوءاستفاده از دسترسی‌های بیش‌ازحد کاربران داخلی یا حساب‌های به‌خطر افتاده انجام می‌شود. بنابراین، کاهش تعداد کاربران با سطح Editor و بالاتر، استفاده از احراز هویت چندعاملی برای حساب‌های مدیریتی، و ثبت لاگ‌های دقیق از فعالیت‌های REST API می‌تواند لایه‌های دفاعی مؤثری ایجاد کند.

در نهایت، ثبت CVE-2026-1400 و انتشار جزئیات آن در منابع معتبر نشان می‌دهد که اکوسیستم وردپرس همچنان هدف جذابی برای مهاجمان است؛ به‌ویژه افزونه‌هایی که به‌سرعت در حال افزودن قابلیت‌های پیچیده (مانند هوش مصنوعی و چت‌بات‌ها) هستند و ممکن است در فرآیند توسعه، کنترل‌های امنیتی کلاسیک را نادیده بگیرند. برای مدیران وب‌سایت‌ها، پیام روشن است: افزونه‌ها را تنها بر اساس قابلیت انتخاب نکنید، بلکه سابقه امنیتی، سرعت واکنش توسعه‌دهنده به گزارش‌ها و سازگاری با بهترین رویه‌های امنیتی را نیز معیار قرار دهید.