Apa yang terjadi
GPTranslate, plugin WordPress yang menggunakan API GPT/OpenAI untuk menerjemahkan konten website secara otomatis, mengandung kerentanan SQL injection tanpa autentikasi di versi hingga dan termasuk 2.32.6. Kecacatan tersebut dipublikasikan ke NVD pada 15 Juni 2026 dengan skor CVSS 9.3 CRITICAL dan diumumkan melalui Patchstack. Endpoint REST terjemahan AI plugin gagal untuk membersihkan parameter yang disuplai pengguna sebelum menggabungkannya ke dalam kueri database.
Mengapa penting
Melampaui kompromi database standar, eksploitasi kecacatan ini memberikan akses ke kunci API OpenAI/GPT situs yang disimpan di database WordPress, memungkinkan pencurian kunci API untuk penggunaan LLM tidak sah yang ditagihkan kepada korban, serta eksfiltrasi semua konten terjemahan dan data pengguna. Sifat serangan tanpa autentikasi (tidak diperlukan login) membuat eksploitasi otomatis massal menjadi mudah.
Vektor serangan
Penyerang jarak jauh tanpa autentikasi mengirimkan permintaan HTTP yang dirancang ke endpoint terjemahan plugin dengan SQL berbahaya dalam parameter yang tidak dibersihkan, memungkinkan operasi baca/tulis database sembarangan termasuk ekstraksi kredensial pengguna WordPress dan kunci API yang disimpan di wp_options (termasuk kunci API GPT/OpenAI yang digunakan untuk terjemahan AI).
Sistem yang terdampak
GPTranslate – Multilingual AI Translation for WordPress ≤ 2.32.6
Mitigasi
Perbarui GPTranslate ke versi 2.32.7 atau lebih baru. Advisory: https://patchstack.com/database/wordpress/plugin/gptranslate/vulnerability/wordpress-gptranslate-multilingual-ai-translation-for-wordpress-automatically-translate-websites-plugin-2-32-6-sql-injection-vulnerability