Plugin AI Engine WordPress — Eskalasi Privilege Editor (CVE-2026-27407)

CVE-2026-27407 (CVSS 7.2 HIGH) dipublikasikan 2026-06-15. Plugin AI Engine WordPress (yang menyediakan fitur bertenaga ChatGPT/LLM ke situs WordPress) memungkinkan pengguna dengan privilege tingkat Editor untuk meningkatkan ke Administrator, mendapatkan kontrol situs penuh.

AI Engine adalah plugin populer yang menghubungkan situs WordPress ke LLM APIs. Eskalasi privilege ke admin memungkinkan penyerang untuk mengekstrak kunci API yang tersimpan, memodifikasi pipeline konten yang dihasilkan AI, dan mengambil kontrol situs penuh dari akun Editor terbatas.

Pengguna terautentikasi dengan privilege WordPress tingkat Editor mengeksploitasi cacat eskalasi privilege dalam plugin AI Engine untuk mendapatkan akses administratif yang lebih tinggi.

Plugin AI Engine WordPress ≤ 3.4.9

Perbarui plugin AI Engine ke versi > 3.4.9. Pemberitahuan Patchstack: https://patchstack.com/database/wordpress/plugin/ai-engine/vulnerability/wordpress-ai-engine-plugin-3-4-9-privilege-escalation-vulnerability