Apa yang terjadi
GPTranslate, sebuah plugin WordPress yang menggunakan API GPT/OpenAI untuk menerjemahkan konten website secara otomatis, mengandung kerentanan SQL injection tanpa autentikasi di versi hingga dan termasuk 2.32.6. Kerentanan ini dipublikasikan ke NVD pada 15 Juni 2026 dengan skor CVSS 9.3 CRITICAL dan diungkapkan melalui Patchstack. Endpoint REST terjemahan AI plugin gagal untuk membersihkan parameter yang disuplai pengguna sebelum menggabungkannya ke dalam kueri database.
Mengapa penting
Melampaui kompromi database standar, eksploitasi kerentanan ini memberikan akses ke kunci API OpenAI/GPT situs yang disimpan dalam database WordPress, memungkinkan pencurian kunci API untuk penggunaan LLM tidak sah yang ditagihkan kepada korban, serta pengeluaran semua konten yang diterjemahkan dan data pengguna. Sifat tanpa autentikasi dari serangan ini (tidak ada login yang diperlukan) membuat eksploitasi otomatis massal menjadi trivial.
Vektor serangan
Seorang penyerang jarak jauh tanpa autentikasi mengirimkan permintaan HTTP yang dirancang ke endpoint terjemahan plugin dengan SQL berbahaya dalam parameter yang tidak dibersihkan, memungkinkan operasi database baca/tulis arbitrer termasuk ekstraksi kredensial pengguna WordPress dan kunci API yang disimpan di wp_options (termasuk kunci API GPT/OpenAI yang digunakan untuk terjemahan AI).
Sistem yang terdampak
GPTranslate – Multilingual AI Translation for WordPress ≤ 2.32.6
Mitigasi
Perbarui GPTranslate ke versi 2.32.7 atau lebih baru. Advisory: https://patchstack.com/database/wordpress/plugin/gptranslate/vulnerability/wordpress-gptranslate-multilingual-ai-translation-for-wordpress-automatically-translate-websites-plugin-2-32-6-sql-injection-vulnerability