何が起きたか
CVE-2026-27407 (CVSS 7.2 HIGH) は 2026-06-15 に公開されました。AI Engine WordPress プラグイン (WordPress サイトに ChatGPT/LLM 搭載機能を提供) では、エディターレベルの権限を持つユーザーが管理者に昇格でき、サイト全体を制御できます。
なぜ重要か
AI Engine は WordPress サイトを LLM API に接続する一般的なプラグインです。管理者への権限昇格により、攻撃者は保存されている API キーを流出させ、AI が生成したコンテンツパイプラインを変更し、限定的なエディターアカウントからサイト全体を制御できます。
攻撃経路
エディターレベルの WordPress 権限を持つ認証済みユーザーが AI Engine プラグインの権限昇格の脆弱性を悪用して、より高い管理者アクセスを取得します。
影響を受けるシステム
AI Engine WordPress plugin ≤ 3.4.9
緩和策
AI Engine プラグインをバージョン > 3.4.9 に更新してください。Patchstack アドバイザリ: https://patchstack.com/database/wordpress/plugin/ai-engine/vulnerability/wordpress-ai-engine-plugin-3-4-9-privilege-escalation-vulnerability