CVE-2026-4038
CriticalSummary
Wtyczka Aimogen Pro dla WordPressa jest podatna na wywołanie dowolnej funkcji, co może prowadzić do eskalacji uprawnień z powodu braku sprawdzenia uprawnień w funkcji 'aiomatic_call_ai_function_realtime' we wszystkich wersjach do 2.7.5 włącznie. Umożliwia to nieautoryzowanym atakującym wywoływanie dowolnych funkcji WordPressa, takich jak 'update_option'.
Risk Assessment
Atakujący mogą uzyskać dostęp administracyjny do podatnej witryny, zmieniając domyślną rolę rejestracji na administratora i włączając rejestrację użytkowników. To stwarza poważne zagrożenie dla bezpieczeństwa organizacji.
Recommendation
Zaleca się aktualizację wtyczki Aimogen Pro do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, warto przeprowadzić audyt uprawnień użytkowników oraz monitorować logi rejestracji użytkowników.
Original NVD description (English source)
The Aimogen Pro plugin for WordPress is vulnerable to Arbitrary Function Call that can lead to privilege escalation due to a missing capability check on the 'aiomatic_call_ai_function_realtime' function in all versions up to, and including, 2.7.5. This makes it possible for unauthenticated attackers to call arbitrary WordPress functions such as 'update_option' to update the default role for registration to administrator and enable user registration for attackers to gain administrative user access to a vulnerable site.

