Apa yang terjadi
AI Engine, sebuah plugin WordPress yang banyak digunakan untuk mengintegrasikan chatbot berbasis GPT, pembuatan konten, dan manajemen model AI, mengandung kerentanan privilege escalation dalam versi hingga dan termasuk 3.4.9. Dipublikasikan 15 Juni 2026 (CVSS 7.2 HIGH). Pengguna tingkat Editor dapat melakukan escalation menjadi Administrator melalui action atau REST endpoint yang tidak dilindungi dengan memadai dalam plugin tersebut.
Mengapa penting
AI Engine menyimpan dan mengelola kunci API OpenAI/GPT, konfigurasi chatbot, pengaturan model fine-tuned, dan pipeline konten yang dihasilkan AI. Penyerang yang berhasil melakukan privilege escalation mendapatkan kontrol atas seluruh infrastruktur AI yang dikonfigurasi melalui plugin — termasuk eksfiltrasi kunci API untuk penyalahgunaan LLM hilir — serta akses administrator WordPress penuh yang memungkinkan kompromi situs lebih lanjut atau serangan supply-chain pada pengunjung situs.
Vektor serangan
Penyerang yang terautentikasi dengan minimal privilese WordPress tingkat Editor mengeksploitasi pemeriksaan capability yang hilang atau otorisasi yang tidak tepat dalam AI Engine ≤ 3.4.9 untuk melakukan escalation privilese menjadi Administrator, memperoleh kontrol situs penuh termasuk akses ke kunci API OpenAI yang tersimpan dan semua konfigurasi model AI.
Sistem yang terdampak
Plugin WordPress AI Engine ≤ 3.4.9
Mitigasi
Perbarui AI Engine ke versi 3.5.0 atau lebih baru. Advisory: https://patchstack.com/database/wordpress/plugin/ai-engine/vulnerability/wordpress-ai-engine-plugin-3-4-9-privilege-escalation-vulnerability