Apa yang terjadi
CVE-2026-49776 (CVSS 9.3 CRITICAL) dipublikasikan oleh NVD pada 2026-06-15. Plugin WordPress GPTranslate dalam versi ≤ 2.32.6 mengandung kerentanan injeksi SQL tanpa autentikasi. Tidak ada autentikasi yang diperlukan untuk mengeksploitasinya, memberikan penyerang akses langsung ke basis data WordPress termasuk kredensial pengguna, kunci API yang disimpan oleh plugin (misalnya kunci OpenAI/GPT), dan semua konten situs.
Mengapa penting
Plugin terjemahan AI biasanya menyimpan kunci API penyedia LLM (OpenAI, dll.) di basis data WordPress. Injeksi SQL yang berhasil tidak hanya membahayakan situs tetapi juga langsung mengumpulkan kredensial penyedia AI tersebut, memungkinkan penyerang menyalahgunakannya untuk akses API LLM dengan biaya pemilik situs. CVSS Kritis dan eksploitasi tanpa autentikasi membuat ini patch dengan prioritas tinggi.
Vektor serangan
Penyerang jarak jauh tanpa autentikasi mengirimkan permintaan HTTP yang dibuat khusus ke titik akhir yang rentan, menyuntikkan SQL sewenang-wenang ke dalam kueri basis data yang dijalankan oleh plugin terjemahan AI, memungkinkan pembacaan/penulisan basis data penuh tanpa kredensial apa pun.
Sistem yang terdampak
GPTranslate – Terjemahan AI Multibahasa untuk WordPress ≤ 2.32.6
Mitigasi
Perbarui GPTranslate ke versi > 2.32.6. Lihat pemberitahuan Patchstack: https://patchstack.com/database/wordpress/plugin/gptranslate/vulnerability/wordpress-gptranslate-multilingual-ai-translation-for-wordpress-automatically-translate-websites-plugin-2-32-6-sql-injection-vulnerability