何が起きたか
GPTranslateは、GPT/OpenAI APIを使用してWebサイトコンテンツを自動翻訳するWordPressプラグインであり、バージョン2.32.6以下に認証なしSQL インジェクション脆弱性が含まれています。この欠陥は2026年6月15日にNVDに公開され、CVSS スコア9.3 CRITICALで、Patchstackを通じて開示されました。プラグインのAI翻訳RESTエンドポイントは、ユーザー供給パラメータをデータベースクエリに組み込む前にサニタイズできていません。
なぜ重要か
標準的なデータベース侵害を超えて、この欠陥の悪用により、WordPressデータベースに保存されているサイトのOpenAI/GPT APIキーへのアクセスが付与され、被害者に請求される権限のないLLM使用のためのAPIキー盗難、および翻訳されたすべてのコンテンツとユーザーデータの流出が可能になります。この攻撃の認証なしの性質(ログイン不要)により、大規模な自動化された悪用が容易になります。
攻撃経路
認証なしの遠隔攻撃者は、悪意のあるSQLを含む細工されたHTTPリクエストをプラグインの翻訳エンドポイントに送信し、サニタイズされていないパラメータでデータベースの任意の読み取り/書き込み操作を許可します。これにはWordPressユーザー認証情報とwp_optionsに保存されているAPIキー(AI翻訳に使用されるGPT/OpenAI APIキーを含む)の抽出が含まれます。
影響を受けるシステム
GPTranslate – WordPress用多言語AI翻訳 ≤ 2.32.6
緩和策
GPTranslateをバージョン2.32.7以降に更新してください。勧告: https://patchstack.com/database/wordpress/plugin/gptranslate/vulnerability/wordpress-gptranslate-multilingual-ai-translation-for-wordpress-automatically-translate-websites-plugin-2-32-6-sql-injection-vulnerability