事件经过
CVE-2025-69134 (CVSS 7.5高) 于2026年7月2日发布到NVD。OpenAI Chatbot for WordPress Helper插件≤1.1.4不要求其内容删除功能的身份验证,允许任何未经身份验证的用户删除任意网站内容。
影响分析
连接WordPress与OpenAI API的插件在内容丰富的部署中越来越常见。未经身份验证的删除端点允许攻击者在没有任何凭证的情况下销毁网站内容——包括AI生成和人类编写的文章——对AI辅助发布工作流造成可用性和完整性损害。
攻击途径
未经身份验证的远程攻击者向插件的删除端点发送精心制作的HTTP请求。缺失身份验证允许请求删除任意WordPress内容(文章、页面、附件)。
受影响系统
OpenAI Chatbot for WordPress – Helper插件 ≤ 1.1.4
缓解措施
更新到Helper插件1.1.5版本或更高版本。公告:https://patchstack.com/database/wordpress/plugin/helper/vulnerability/wordpress-openai-chatbot-for-wordpress-helper-plugin-1-1-4-arbitrary-content-deletion-vulnerability