CVE-2025-6206

Nome do Software Vulnerável e Versões Afetadas: O plugin Aiomatic - Automatic AI Content Writer & Editor para WordPress, versões até a 2.5.0 inclusive

Descrição: O problema permite o upload de arquivos arbitrários devido à falta de validação de tipo de arquivo na função aiomatic image editor ajax submit. Isso possibilita que atacantes autenticados, com acesso de nível de Assinante ou superior, façam upload de arquivos arbitrários no servidor do site afetado, o que pode tornar possível a execução remota de código. Para explorar o problema, um valor deve ser inserido para a chave de API do Stability.AI, que pode ser arbitrário.

Recomendações: Para versões até a 2.5.0 inclusive, atualize para uma versão que inclua uma correção para a falta de validação de tipo de arquivo na função aiomatic image editor ajax submit. Como medida temporária, considere desativar a função aiomatic image editor ajax submit até que uma correção esteja disponível. Restrinja o acesso ao plugin Aiomatic para minimizar o risco de exploração, especialmente para usuários com acesso de nível de Assinante ou superior.