Apa yang terjadi
CVE-2025-69134 (CVSS 7.5 High, dipublikasikan 2026-07-02) memengaruhi plugin 'OpenAI Chatbot for WordPress – Helper' hingga versi 1.1.4. Unauthenticated attacker dapat menghapus arbitrary WordPress content (posts, pages, custom post types) melalui unprotected endpoint, tanpa authentication yang diperlukan.
Mengapa penting
Plugin ini mengintegrasikan OpenAI API ke WordPress untuk fungsi chatbot. Unauthenticated content deletion memungkinkan attackers untuk menghancurkan knowledge base, conversation logs, atau configuration posts yang memberi makan AI chatbot — secara efektif disabling atau defacing AI-powered customer interface dari affected sites tanpa setiap credentials.
Vektor serangan
Unauthenticated HTTP request ke vulnerable endpoint dengan target content ID menyebabkan permanent deletion dari WordPress content tanpa setiap credential requirement.
Sistem yang terdampak
OpenAI Chatbot for WordPress – Helper plugin ≤ 1.1.4
Mitigasi
Update ke patched version beyond 1.1.4 atau hapus plugin jika tidak digunakan. Patchstack advisory: https://patchstack.com/database/wordpress/plugin/helper/vulnerability/wordpress-openai-chatbot-for-wordpress-helper-plugin-1-1-4-arbitrary-content-deletion-vulnerability