何が起きたか
GPT ベースのチャットボット、コンテンツ生成、および AI モデル管理を統合する広く使用されている WordPress プラグインである AI Engine には、バージョン 3.4.9 以下に権限昇格の脆弱性があります。2026 年 6 月 15 日公開(CVSS 7.2 HIGH)。エディタレベルのユーザーは、プラグイン内の不十分に保護されたアクション または REST エンドポイントを通じて管理者に昇格できます。
なぜ重要か
AI Engine は OpenAI/GPT API キー、チャットボット設定、ファインチューニング済みモデル設定、および AI 生成コンテンツパイプラインを保存および管理します。権限を昇格した攻撃者は、プラグインを通じて設定されたすべての AI インフラストラクチャを制御できます。これには下流 LLM 悪用のための API キー抽出を含むほか、サイト訪問者に対するさらなるサイト侵害またはサプライチェーン攻撃を可能にする完全な WordPress 管理者アクセスが含まれます。
攻撃経路
少なくともエディタレベルの WordPress 権限を持つ認証済み攻撃者は、AI Engine ≤ 3.4.9 における機能チェックの欠落または不適切な認可を悪用して、権限を管理者に昇格させ、保存された OpenAI API キーおよびすべての AI モデル設定へのアクセスを含む完全なサイト制御を取得します。
影響を受けるシステム
AI Engine WordPress Plugin ≤ 3.4.9
緩和策
AI Engine をバージョン 3.5.0 以降に更新してください。勧告: https://patchstack.com/database/wordpress/plugin/ai-engine/vulnerability/wordpress-ai-engine-plugin-3-4-9-privilege-escalation-vulnerability