Apa yang terjadi
CVE-2026-9109 dipublikasikan oleh NVD pada 13 Juni 2026 (CVSS 7.2 HIGH). Plugin GPTranslate – Multilingual AI Translation for WordPress dalam semua versi hingga dan termasuk 2.31 mengandung kerentanan Stored Cross-Site Scripting dalam fungsi REST API Translation Storage-nya. Sanitasi input yang tidak memadai dan output escaping memungkinkan penyerang dengan akses tingkat kontributor atau lebih tinggi untuk menyuntikkan skrip jahat yang persisten ke dalam halaman. Referensi perbaikan pertama menunjuk ke tag 2.27.5.
Mengapa penting
GPTranslate menggunakan AI (terjemahan berbasis LLM) sebagai fitur intinya, yang berarti payload XSS dapat ditanamkan dalam konten yang diterjemahkan AI yang dikembalikan melalui REST API dan disimpan di situs. Di situs WordPress tempat output terjemahan AI dipercaya dan dirender tanpa sanitasi, penyerang dapat menyuntikkan skrip yang mencuri cookie sesi (termasuk token admin), mengarahkan ulang pengguna, atau mengekstrak konten yang diterjemahkan AI — mempengaruhi situs apa pun yang menggunakan plugin ini untuk menggerakkan konten multibahasa berbasis AI.
Vektor serangan
Penyerang yang terautentikasi (kontributor+) menyuntikkan skrip jahat melalui endpoint penyimpanan terjemahan REST API; payload yang disimpan dieksekusi di browser korban ketika halaman yang diterjemahkan AI dilihat
Sistem yang terdampak
Plugin GPTranslate – Multilingual AI Translation for WordPress, semua versi ≤ 2.31
Mitigasi
Perbarui plugin GPTranslate ke versi 2.27.5 atau lebih baru. NVD: https://nvd.nist.gov/vuln/detail/CVE-2026-9109