何が起きたか
CVE-2026-9109はNVDによって2026年6月13日に公開されました (CVSS 7.2 HIGH)。WordPress用GPTranslate – Multilingual AI Translationプラグインのバージョン2.31以前のすべてのバージョンには、REST API翻訳ストレージ機能にストアドクロスサイトスクリプティング脆弱性が含まれています。不十分な入力サニタイゼーションと出力エスケープにより、寄稿者レベル以上のアクセス権を持つ攻撃者がページに永続的な悪意のあるスクリプトを注入できます。最初の修正参照はタグ2.27.5を指します。
なぜ重要か
GPTranslateはコア機能としてAI (LLMベースの翻訳)を使用しており、XSS ペイロードをREST APIを通じて返されるAI翻訳コンテンツに埋め込み、サイトに保存することができます。AI翻訳出力が信頼でき、サニタイズされていない状態でレンダリングされるWordPressサイトでは、攻撃者がセッションクッキー (管理者トークンを含む) を盗んだり、ユーザーをリダイレクトしたり、AI翻訳コンテンツを流出させたりするスクリプトを注入でき、このプラグインを使用して多言語AIドリブンコンテンツを提供しているあらゆるサイトに影響を与える可能性があります。
攻撃経路
認証された攻撃者 (寄稿者以上) がREST API翻訳ストレージエンドポイント経由で悪意のあるスクリプトを注入し、AI翻訳ページが表示される際に被害者のブラウザに保存ペイロードが実行される
影響を受けるシステム
WordPress用GPTranslate – Multilingual AI Translationプラグイン、バージョン 2.31以前のすべて
緩和策
GPTranslateプラグインをバージョン2.27.5以降に更新してください。NVD: https://nvd.nist.gov/vuln/detail/CVE-2026-9109