何が起きたか
CVE-2026-27407 (CVSS 7.2 HIGH) 2026-06-15に公開。AI Engine WordPressプラグイン(WordPressサイトにChatGPT/LLM機能を提供)により、エディタレベルの権限を持つユーザーが管理者に昇格し、サイト全体を制御できるようになる。
なぜ重要か
AI EngineはWordPressサイトをLLM APIに接続する人気のプラグイン。管理者への権限昇格により、攻撃者は保存されたAPIキーを流出させ、AI生成コンテンツパイプラインを変更し、制限されたエディタアカウントからサイト全体を制御できる。
攻撃経路
エディタレベルのWordPress権限を持つ認証ユーザーが、AI Engineプラグインの権限昇格脆弱性を悪用して、より高い管理者アクセス権を得る。
影響を受けるシステム
AI Engine WordPressプラグイン ≤ 3.4.9
緩和策
AI Engineプラグインをバージョン > 3.4.9に更新。Patchstack advisory: https://patchstack.com/database/wordpress/plugin/ai-engine/vulnerability/wordpress-ai-engine-plugin-3-4-9-privilege-escalation-vulnerability