何が起きたか
CVE-2026-49776 (CVSS 9.3 CRITICAL) は2026年6月15日にNVDによって公開されました。バージョン≤ 2.32.6のGPTranslate WordPressプラグインは、認証なしのSQL インジェクション脆弱性を含んでいます。この脆弱性の悪用に認証は不要であり、攻撃者にWordPressデータベース(ユーザー認証情報、プラグインが保存するAPIキー(例:OpenAI/GPTキー)、およびすべてのサイトコンテンツを含む)への直接アクセスを与えます。
なぜ重要か
AI翻訳プラグインは通常、LLMプロバイダーのAPIキー(OpenAIなど)をWordPressデータベースに保存します。SQL インジェクションが成功すると、サイトが侵害されるだけでなく、それらのAIプロバイダー認証情報が直接収集され、攻撃者がサイト所有者の費用でLLM APIアクセスを悪用することが可能になります。重大なCVSSおよび認証なしの悪用により、これは緊急性の高いパッチです。
攻撃経路
認証なしのリモート攻撃者が、脆弱性のあるエンドポイントに細工されたHTTPリクエストを送信し、AI翻訳プラグインによって実行されるデータベースクエリに任意のSQLをインジェクションすることで、認証情報なしでデータベースの完全な読み取り/書き込みアクセスを有効にします。
影響を受けるシステム
GPTranslate – Multilingual AI Translation for WordPress ≤ 2.32.6
緩和策
GPTranslateをバージョン> 2.32.6に更新してください。Patchstack アドバイザリを参照してください: https://patchstack.com/database/wordpress/plugin/gptranslate/vulnerability/wordpress-gptranslate-multilingual-ai-translation-for-wordpress-automatically-translate-websites-plugin-2-32-6-sql-injection-vulnerability