Apa yang terjadi
CVE-2026-9109 dipublikasikan oleh NVD pada 13 Juni 2026 (CVSS 7.2 HIGH). Plugin GPTranslate – Multilingual AI Translation for WordPress dalam semua versi hingga dan termasuk 2.31 mengandung kerentanan Stored Cross-Site Scripting dalam fungsionalitas REST API Translation Storage-nya. Sanitasi input dan escaping output yang tidak memadai memungkinkan penyerang dengan akses tingkat kontributor atau lebih tinggi untuk menyuntikkan skrip berbahaya persisten ke dalam halaman. Referensi perbaikan pertama menunjuk ke tag 2.27.5.
Mengapa penting
GPTranslate menggunakan AI (terjemahan berbasis LLM) sebagai fitur intinya, berarti payload XSS dapat ditanamkan dalam konten yang diterjemahkan AI yang dikembalikan melalui REST API dan disimpan di situs. Pada situs WordPress di mana output terjemahan AI dipercaya dan dirender tanpa sanitasi, penyerang dapat menyuntikkan skrip yang mencuri cookie sesi (termasuk token admin), mengarahkan ulang pengguna, atau mengeksfiltrasi konten yang diterjemahkan AI — mempengaruhi situs apa pun yang menggunakan plugin ini untuk mendukung konten multibahasa berbasis AI.
Vektor serangan
Penyerang terautentikasi (kontributor+) menyuntikkan skrip berbahaya melalui endpoint penyimpanan terjemahan REST API; payload tersimpan dieksekusi di browser korban saat halaman yang diterjemahkan AI dilihat
Sistem yang terdampak
Plugin GPTranslate – Multilingual AI Translation for WordPress, semua versi ≤ 2.31
Mitigasi
Perbarui plugin GPTranslate ke versi 2.27.5 atau lebih baru. NVD: https://nvd.nist.gov/vuln/detail/CVE-2026-9109