何が起きたか
CVE-2025-69134 (CVSS 7.5 高) は 2026年7月2日に NVD に公開されました。OpenAI Chatbot for WordPress Helper プラグイン ≤ 1.1.4 はコンテンツ削除機能に認証を要求しないため、認証されていないユーザーが任意のサイトコンテンツを削除できます。
なぜ重要か
WordPress を OpenAI API と接続するプラグインはコンテンツ豊富なデプロイメントで急速に普及しています。認証されていない削除エンドポイントは、攻撃者が認証情報なしでサイトコンテンツを破棄することを可能にし、AI 生成およびユーザーが作成した投稿を含め、AI 支援公開ワークフローの可用性と整合性に損害を与えます。
攻撃経路
認証されていないリモート攻撃者は、プラグインの削除エンドポイントに細工された HTTP リクエストを送信します。認証の欠落により、リクエストは任意の WordPress コンテンツ (投稿、ページ、添付ファイル) を削除できます。
影響を受けるシステム
OpenAI Chatbot for WordPress – Helper プラグイン ≤ 1.1.4
緩和策
Helper プラグインをバージョン 1.1.5 以降に更新します。アドバイザリ: https://patchstack.com/database/wordpress/plugin/helper/vulnerability/wordpress-openai-chatbot-for-wordpress-helper-plugin-1-1-4-arbitrary-content-deletion-vulnerability