Apa yang terjadi
CVE-2025-69134 (CVSS 7.5 Tinggi) dipublikasikan ke NVD pada 2 Juli 2026. Plugin OpenAI Chatbot for WordPress Helper ≤ 1.1.4 tidak memerlukan autentikasi untuk fungsionalitas penghapusan konten, memungkinkan pengguna yang tidak terautentikasi apa pun untuk menghapus konten situs arbitrer.
Mengapa penting
Plugin yang menghubungkan WordPress dengan API OpenAI semakin umum dalam penyebaran kaya konten. Endpoint penghapusan yang tidak terautentikasi memungkinkan penyerang untuk menghancurkan konten situs — termasuk posting yang dihasilkan AI dan ditulis manusia — tanpa kredensial apa pun, menyebabkan kerusakan ketersediaan dan integritas pada alur kerja penerbitan yang dibantu AI.
Vektor serangan
Penyerang remote yang tidak terautentikasi mengirimkan permintaan HTTP yang dirancang ke endpoint penghapusan plugin. Autentikasi yang hilang memungkinkan permintaan menghapus konten WordPress arbitrer (posting, halaman, lampiran).
Sistem yang terdampak
OpenAI Chatbot for WordPress – Plugin Helper ≤ 1.1.4
Mitigasi
Perbarui ke versi plugin Helper 1.1.5 atau lebih baru. Penasihat: https://patchstack.com/database/wordpress/plugin/helper/vulnerability/wordpress-openai-chatbot-for-wordpress-helper-plugin-1-1-4-arbitrary-content-deletion-vulnerability