何が起きたか
CVE-2025-69134 (CVSS 7.5 High、2026-07-02 公開) はバージョン 1.1.4 までの「OpenAI Chatbot for WordPress – Helper」プラグインに影響します。認証なし攻撃者は保護されていないエンドポイントを通じて任意の WordPress コンテンツ (投稿、ページ、カスタム投稿タイプ) を削除できます。認証は不要です。
なぜ重要か
このプラグインは OpenAI API を WordPress に統合してチャットボット機能を提供します。認証なし コンテンツ削除により、攻撃者は AI チャットボットにフィードするナレッジベース、会話ログ、または構成投稿を破棄でき、認証情報なしで影響を受けたサイトの AI 駆動カスタマーインターフェースを効果的に無効化または defaced できます。
攻撃経路
ターゲット コンテンツ ID を使用した脆弱なエンドポイントへの認証なし HTTP リクエストにより、任意の認証情報なしで WordPress コンテンツが永続的に削除されます。
影響を受けるシステム
OpenAI Chatbot for WordPress – Helper プラグイン ≤ 1.1.4
緩和策
1.1.4 より先のパッチバージョンにアップデートするか、未使用の場合はプラグインを削除してください。Patchstack アドバイザリ: https://patchstack.com/database/wordpress/plugin/helper/vulnerability/wordpress-openai-chatbot-for-wordpress-helper-plugin-1-1-4-arbitrary-content-deletion-vulnerability