何が起きたか
AI Engine は、GPT ベースのチャットボット、コンテンツ生成、AI モデル管理を統合する広く使用されている WordPress プラグインであり、バージョン 3.4.9 以下に権限昇格の脆弱性が存在します。公開日:2026 年 6 月 15 日 (CVSS 7.2 HIGH)。エディターレベルのユーザーは、プラグイン内の不十分に保護されたアクション REST エンドポイントを通じて Administrator に昇格できます。
なぜ重要か
AI Engine は OpenAI/GPT API キー、チャットボット構成、ファインチューニングされたモデル設定、AI 生成コンテンツパイプラインを保存および管理します。権限昇格された攻撃者は、プラグインを通じて構成されたすべての AI インフラストラクチャを制御でき、API キーの流出による下流 LLM の悪用、および WordPress 管理者へのフルアクセスを取得できるため、さらなるサイト侵害またはサイト訪問者への供給チェーン攻撃が可能になります。
攻撃経路
最小限でも Editor レベルの WordPress 権限を持つ認証済みの攻撃者が、AI Engine ≤ 3.4.9 における機能チェックの欠落または不適切な認可を悪用して、権限を Administrator に昇格させ、保存された OpenAI API キーおよびすべての AI モデル構成へのアクセスを含むサイト全体の制御を取得します。
影響を受けるシステム
AI Engine WordPress Plugin ≤ 3.4.9
緩和策
AI Engine をバージョン 3.5.0 以降に更新します。アドバイザリ:https://patchstack.com/database/wordpress/plugin/ai-engine/vulnerability/wordpress-ai-engine-plugin-3-4-9-privilege-escalation-vulnerability