漏洞  ·  2026-07-04

OpenAI WordPress 聊天机器人助手插件——未认证的任意内容删除 (CVE-2025-69134)

漏洞Medium 影响GlobalCVE-2025-69134
CVE-2025-69134(CVSS 7.5 高级,于 2026-07-02 发布)影响"OpenAI Chatbot for WordPress – Helper"插件至版本 1.1.4。未认证的攻击者可以通过不受保护的端点删除任意 WordPress 内容(文章、页面、自定义文章类型),无需任何身份验证。
此插件将 OpenAI 的 API 集成到 WordPress 中以提供聊天机器人功能。未认证的内容删除允许攻击者销毁为 AI 聊天机器人提供数据的知识库、对话日志或配置文章——有效禁用或破坏受影响网站的 AI 驱动客户界面,而无需任何凭证。
对易受攻击的端点的未认证 HTTP 请求,包含目标内容 ID,导致永久删除 WordPress 内容,无需任何凭证要求。
OpenAI Chatbot for WordPress – Helper 插件 ≤ 1.1.4
更新至 1.1.4 之后的修补版本或删除插件(如未使用)。Patchstack 公告:https://patchstack.com/database/wordpress/plugin/helper/vulnerability/wordpress-openai-chatbot-for-wordpress-helper-plugin-1-1-4-arbitrary-content-deletion-vulnerability
NVD — CVE-2025-69134Patchstack Advisory
在实时动态中查看 浏览更多 AI 安全与治理相关发现 — 每日清晨更新。
打开动态 →