何が起きたか
GPTranslateはGPT/OpenAI APIを使用してWebサイトのコンテンツを自動翻訳するWordPressプラグインですが、バージョン2.32.6までに認証なしSQL インジェクション脆弱性が存在します。この欠陥はNVDに2026年6月15日に公開され、CVSS スコア9.3 CRITICALで評価され、Patchstackを通じて開示されました。プラグインのAI翻訳RESTエンドポイントは、ユーザー提供のパラメータをデータベースクエリに組み込む前に適切にサニタイズしていません。
なぜ重要か
標準的なデータベース侵害を超えて、この脆弱性を悪用することで、WordPressデータベースに保存されているサイトのOpenAI/GPT APIキーへのアクセスが可能になり、被害者に請求される不正なLLM使用のためのAPIキー窃取、および翻訳されたすべてのコンテンツとユーザーデータの流出が可能になります。攻撃の認証なしの性質(ログインが不要)により、大規模な自動化された悪用が容易になります。
攻撃経路
認証なしのリモート攻撃者が、悪意のあるSQLを含む非サニタイズパラメータを使用してプラグインの翻訳エンドポイントへの細工されたHTTPリクエストを送信し、wp_optionsに保存されたWordPressユーザー認証情報とAPIキー(AI翻訳に使用されるGPT/OpenAI APIキーを含む)の抽出を含む任意のデータベースの読み取り/書き込み操作を可能にします。
影響を受けるシステム
GPTranslate – Multilingual AI Translation for WordPress ≤ 2.32.6
緩和策
GPTranslateをバージョン2.32.7以降に更新してください。勧告: https://patchstack.com/database/wordpress/plugin/gptranslate/vulnerability/wordpress-gptranslate-multilingual-ai-translation-for-wordpress-automatically-translate-websites-plugin-2-32-6-sql-injection-vulnerability