CVE-2025-13380

Nome do Software Vulnerável e Versões Afetadas AI Engine for WordPress: ChatGPT, plugin GPT Content Generator para WordPress versões até e incluindo a 1.0.1

Descrição O software contém uma falha que permite que atacantes autenticados com acesso de nível de Contribuidor ou superior leiam arquivos arbitrários no servidor. Isso ocorre devido à validação inadequada de caminhos de arquivos fornecidos pelos usuários no endpoint da API lqdai update post e ao uso da função file get contents() com URLs controladas pelo usuário, sem restrições de protocolo, dentro da função insert image(). Isso poderia expor informações sensíveis contidas nesses arquivos.

Recomendações Versões até e incluindo a 1.0.1 devem ser atualizadas. Como medida de contorno temporária, restrinja o acesso ao endpoint da API lqdai update post. Evite usar URLs controladas pelo usuário com a função file get contents().