何が起きたか
CVE-2026-9109はNVDにより2026年6月13日に公開されました (CVSS 7.2 HIGH)。WordPress向けGPTranslate – Multilingual AI Translation プラグインのバージョン2.31以前のすべてのバージョンには、REST API翻訳ストレージ機能にストアドクロスサイトスクリプティング脆弱性が存在します。不十分な入力サニタイゼーションと出力エスケープにより、協力者レベル以上のアクセス権を持つ攻撃者がページに永続的な悪意のあるスクリプトを注入できます。最初の修正参照はタグ2.27.5を指しています。
なぜ重要か
GPTranslateはコア機能としてAI (LLMベースの翻訳)を使用しているため、XSSペイロードはREST APIを介して返されるAI翻訳コンテンツに埋め込まれ、サイト上に保存される可能性があります。AI翻訳出力が信頼でき、サニタイズされていない状態でレンダリングされるWordPressサイトでは、攻撃者はセッションクッキー(管理者トークンを含む)を盗んだり、ユーザーをリダイレクトしたり、AI翻訳コンテンツを流出させたりするスクリプトを注入できます。このプラグインを使用して多言語AI駆動コンテンツを提供しているサイトが影響を受けます。
攻撃経路
認証済み攻撃者 (協力者以上)がREST API翻訳ストレージエンドポイント経由で悪意のあるスクリプトを注入。保存されたペイロードはAI翻訳ページが表示されると被害者のブラウザで実行されます。
影響を受けるシステム
WordPress向けGPTranslate – Multilingual AI Translation プラグイン、バージョン2.31以前のすべてのバージョン
緩和策
GPTranslateプラグインをバージョン2.27.5以降に更新してください。NVD: https://nvd.nist.gov/vuln/detail/CVE-2026-9109