El popular plugin AI Engine para WordPress, instalado en más de 100,000 sitios web, ha sido nuevamente objeto de una advertencia de seguridad tras descubrirse una vulnerabilidad crítica. Esta es ya la cuarta vulnerabilidad reportada en julio de 2025, y la quinta en lo que va del año, lo que ha encendido las alarmas entre desarrolladores y administradores de sitios.
Vulnerabilidad Grave con Autenticación de Nivel Suscriptor
La nueva amenaza, calificada con una puntuación de 8.8 sobre 10 en el sistema CVSS, permite que usuarios autenticados con nivel de suscriptor o superior puedan subir archivos maliciosos al servidor del sitio afectado. Este riesgo se materializa cuando la API REST está habilitada en el sitio web.
Aunque no se trata de una vulnerabilidad que permita acceso sin autenticación (lo que sería aún más grave), el hecho de que pueda ser explotada por suscriptores comunes incrementa significativamente el nivel de exposición, ya que muchas instalaciones de WordPress permiten registros abiertos o con mínima moderación.
Historial Reciente de Vulnerabilidades del Plugin
El descubrimiento más reciente marca la quinta vulnerabilidad en el plugin AI Engine durante 2025. A modo de contexto:
- Junio 2025: Se reportó la primera vulnerabilidad del año.
- Julio 2025: Se han identificado cuatro vulnerabilidades más.
- 2024: Se documentaron nueve vulnerabilidades, incluyendo una de gravedad 9.8 que permitía la carga de archivos maliciosos sin autenticación, y otra de 9.1 relacionada también con cargas arbitrarias.
Este patrón creciente de fallos de seguridad en el plugin ha despertado preocupación entre expertos en ciberseguridad y usuarios finales.
¿Cuál es la Causa Técnica?
Según el equipo de seguridad de Wordfence, la falla se origina por la ausencia de validación del tipo de archivo en una función del plugin vinculada a la API REST, específicamente en las versiones 2.9.3 y 2.9.4.
En sus propias palabras:
“Esto hace posible que atacantes autenticados, con acceso de nivel suscriptor o superior, puedan subir archivos arbitrarios al servidor del sitio afectado cuando la API REST está habilitada, lo que puede hacer posible una ejecución remota de código.”
Este tipo de vulnerabilidad puede permitir que los atacantes suban archivos como scripts PHP maliciosos que se ejecuten directamente en el servidor web, comprometiendo completamente el sitio.
Recomendación Urgente: Actualizar a la Versión 2.9.5
Los desarrolladores del plugin han lanzado rápidamente una actualización correctiva con la versión 2.9.5, que incluye:
- Validación estricta de tipos de archivo para impedir la ejecución de scripts PHP maliciosos.
- Validación de esquemas de URL en transcripción de audio, como parte de otra corrección relacionada con SSRF (Server-Side Request Forgery).
- Saneamiento de parámetros REST API para evitar el uso indebido de claves API.
Los usuarios del plugin deben actualizar de inmediato a la versión 2.9.5 o superior para mitigar esta y otras posibles amenazas.
Conclusión
El caso del plugin AI Engine sirve como recordatorio contundente de la importancia de mantener los plugins actualizados y de aplicar buenas prácticas de seguridad en la administración de sitios WordPress. Aunque el plugin ofrece funcionalidades avanzadas relacionadas con inteligencia artificial, su historial reciente en materia de seguridad lo posiciona como un elemento de alto riesgo si no se gestiona con responsabilidad.
👉 Si utilizas AI Engine, actualiza cuanto antes y revisa tus permisos de usuario para evitar accesos innecesarios a funciones sensibles.