Apa yang terjadi
CVE-2026-49776 (CVSS 9.3 KRITIS) dipublikasikan oleh NVD pada 2026-06-15. Plugin WordPress GPTranslate dalam versi ≤ 2.32.6 mengandung kerentanan SQL injection tanpa autentikasi. Tidak ada autentikasi yang diperlukan untuk mengeksploitasinya, memberikan penyerang akses langsung ke database WordPress termasuk kredensial pengguna, kunci API yang disimpan oleh plugin (misalnya kunci OpenAI/GPT), dan semua konten situs.
Mengapa penting
Plugin terjemahan AI biasanya menyimpan kunci API penyedia LLM (OpenAI, dll.) di database WordPress. SQL injection yang berhasil tidak hanya mengompromikan situs tetapi secara langsung mengumpulkan kredensial penyedia AI tersebut, memungkinkan penyerang menyalahgunakannya untuk akses API LLM dengan biaya pemilik situs. CVSS Kritis dan eksploitasi tanpa autentikasi menjadikan ini patch dengan prioritas tinggi.
Vektor serangan
Penyerang jarak jauh tanpa autentikasi mengirim permintaan HTTP yang dirancang ke endpoint yang rentan, menyuntikkan SQL sewenang-wenang ke dalam kueri database yang dieksekusi oleh plugin terjemahan AI, memungkinkan pembacaan/penulisan database penuh tanpa kredensial apa pun.
Sistem yang terdampak
GPTranslate – Terjemahan AI Multibahasa untuk WordPress ≤ 2.32.6
Mitigasi
Perbarui GPTranslate ke versi > 2.32.6. Lihat pemberitahuan Patchstack: https://patchstack.com/database/wordpress/plugin/gptranslate/vulnerability/wordpress-gptranslate-multilingual-ai-translation-for-wordpress-automatically-translate-websites-plugin-2-32-6-sql-injection-vulnerability