事件经过
CVE-2025-69134(CVSS 7.5 高级,于 2026-07-02 发布)影响"OpenAI Chatbot for WordPress – Helper"插件至版本 1.1.4。未认证的攻击者可以通过不受保护的端点删除任意 WordPress 内容(文章、页面、自定义文章类型),无需任何身份验证。
影响分析
此插件将 OpenAI 的 API 集成到 WordPress 中以提供聊天机器人功能。未认证的内容删除允许攻击者销毁为 AI 聊天机器人提供数据的知识库、对话日志或配置文章——有效禁用或破坏受影响网站的 AI 驱动客户界面,而无需任何凭证。
攻击途径
对易受攻击的端点的未认证 HTTP 请求,包含目标内容 ID,导致永久删除 WordPress 内容,无需任何凭证要求。
受影响系统
OpenAI Chatbot for WordPress – Helper 插件 ≤ 1.1.4
缓解措施
更新至 1.1.4 之后的修补版本或删除插件(如未使用)。Patchstack 公告:https://patchstack.com/database/wordpress/plugin/helper/vulnerability/wordpress-openai-chatbot-for-wordpress-helper-plugin-1-1-4-arbitrary-content-deletion-vulnerability