Apa yang terjadi
AI Engine, plugin WordPress yang banyak digunakan yang mengintegrasikan chatbot berbasis GPT, pembuatan konten, dan manajemen model AI, mengandung kerentanan eskalasi privilege dalam versi hingga dan termasuk 3.4.9. Dipublikasikan 15 Juni 2026 (CVSS 7.2 HIGH). Pengguna tingkat Editor dapat melakukan eskalasi ke Administrator melalui aksi yang tidak terlindungi dengan memadai atau endpoint REST dalam plugin.
Mengapa penting
AI Engine menyimpan dan mengelola kunci API OpenAI/GPT, konfigurasi chatbot, pengaturan model fine-tuned, dan pipeline konten yang dihasilkan AI. Penyerang dengan privilege yang telah di-eskalasi mendapatkan kontrol atas semua infrastruktur AI yang dikonfigurasi melalui plugin — termasuk exfiltrasi kunci API untuk penyalahgunaan LLM hilir — serta akses administrator WordPress penuh yang memungkinkan kompromi situs lebih lanjut atau serangan supply-chain pada pengunjung situs.
Vektor serangan
Penyerang yang sudah terautentikasi dengan privilege WordPress tingkat Editor minimal memanfaatkan pemeriksaan capability yang hilang atau otorisasi yang tidak tepat dalam AI Engine ≤ 3.4.9 untuk melakukan eskalasi privilege ke Administrator, mendapatkan kontrol situs penuh termasuk akses ke kunci API OpenAI yang tersimpan dan semua konfigurasi model AI.
Sistem yang terdampak
Plugin WordPress AI Engine ≤ 3.4.9
Mitigasi
Perbarui AI Engine ke versi 3.5.0 atau yang lebih baru. Advisory: https://patchstack.com/database/wordpress/plugin/ai-engine/vulnerability/wordpress-ai-engine-plugin-3-4-9-privilege-escalation-vulnerability