脆弱性  ·  2026-07-04

OpenAI WordPress Chatbot Helper Plugin — 認証なし任意コンテンツ削除 (CVE-2025-69134)

脆弱性Medium 影響度GlobalCVE-2025-69134
CVE-2025-69134 (CVSS 7.5 High、2026-07-02 公開) はバージョン 1.1.4 までの「OpenAI Chatbot for WordPress – Helper」プラグインに影響します。認証なし攻撃者は保護されていないエンドポイントを通じて任意の WordPress コンテンツ (投稿、ページ、カスタム投稿タイプ) を削除できます。認証は不要です。
このプラグインは OpenAI API を WordPress に統合してチャットボット機能を提供します。認証なし コンテンツ削除により、攻撃者は AI チャットボットにフィードするナレッジベース、会話ログ、または構成投稿を破棄でき、認証情報なしで影響を受けたサイトの AI 駆動カスタマーインターフェースを効果的に無効化または defaced できます。
ターゲット コンテンツ ID を使用した脆弱なエンドポイントへの認証なし HTTP リクエストにより、任意の認証情報なしで WordPress コンテンツが永続的に削除されます。
OpenAI Chatbot for WordPress – Helper プラグイン ≤ 1.1.4
1.1.4 より先のパッチバージョンにアップデートするか、未使用の場合はプラグインを削除してください。Patchstack アドバイザリ: https://patchstack.com/database/wordpress/plugin/helper/vulnerability/wordpress-openai-chatbot-for-wordpress-helper-plugin-1-1-4-arbitrary-content-deletion-vulnerability
NVD — CVE-2025-69134Patchstack Advisory
ライブフィードで見る AIセキュリティとガバナンスの関連情報をさらに見る — 毎朝更新。
フィードを開く →