何が起きたか
CVE-2026-49776(CVSS 9.3 CRITICAL)は2026年6月15日にNVDによって公開されました。バージョン2.32.6以下のGPTranslate WordPressプラグインには、認証なしSQL injection脆弱性が含まれています。悪用に認証は不要であり、攻撃者にWordPressデータベースへの直接アクセスを許可します。これには、ユーザー認証情報、プラグインによって保存されたAPIキー(例:OpenAI/GPTキー)、およびすべてのサイトコンテンツが含まれます。
なぜ重要か
AI翻訳プラグインは一般的にLLMプロバイダーAPIキー(OpenAIなど)をWordPressデータベースに保存します。成功したSQL injectionはサイトを侵害するだけでなく、それらのAIプロバイダー認証情報を直接収集し、攻撃者がサイト所有者の費用でLLM APIアクセスを悪用することを可能にします。重大なCVSSと認証なし悪用により、これは高緊急度のパッチです。
攻撃経路
認証なしのリモート攻撃者は、脆弱なエンドポイントに細工されたHTTPリクエストを送信し、AI翻訳プラグインによって実行されるデータベースクエリに任意のSQLを注入し、認証情報なしで完全なデータベース読み取り/書き込みを可能にします。
影響を受けるシステム
GPTranslate – WordPress用多言語AI翻訳 ≤ 2.32.6
緩和策
GPTranslateをバージョン2.32.6より新しいバージョンに更新してください。Patchstackのアドバイザリを参照:https://patchstack.com/database/wordpress/plugin/gptranslate/vulnerability/wordpress-gptranslate-multilingual-ai-translation-for-wordpress-automatically-translate-websites-plugin-2-32-6-sql-injection-vulnerability