Plugin AI Engine WordPress — Eskalasi Privilege Editor (CVE-2026-27407)

CVE-2026-27407 (CVSS 7.2 HIGH) dipublikasikan 2026-06-15. Plugin AI Engine WordPress (yang menyediakan fitur bertenaga ChatGPT/LLM untuk situs WordPress) memungkinkan pengguna dengan privilege tingkat Editor untuk melakukan eskalasi ke Administrator, mendapatkan kontrol situs penuh.

AI Engine adalah plugin populer yang menghubungkan situs WordPress ke API LLM. Eskalasi privilege ke admin memungkinkan penyerang untuk mengekstrak kunci API yang tersimpan, memodifikasi pipeline konten yang dihasilkan AI, dan mengambil kontrol situs penuh dari akun Editor terbatas.

Pengguna yang terautentikasi dengan privilege WordPress tingkat Editor mengeksploitasi kelemahan eskalasi privilege dalam plugin AI Engine untuk mendapatkan akses administratif yang lebih tinggi.

Plugin AI Engine WordPress ≤ 3.4.9

Perbarui plugin AI Engine ke versi > 3.4.9. Pemberitahuan Patchstack: https://patchstack.com/database/wordpress/plugin/ai-engine/vulnerability/wordpress-ai-engine-plugin-3-4-9-privilege-escalation-vulnerability