事件经过
CVE-2026-9109 由 NVD 于 2026 年 6 月 13 日发布 (CVSS 7.2 高)。GPTranslate – 适用于 WordPress 的多语言 AI 翻译插件的所有版本至 2.31 版本在其 REST API 翻译存储功能中包含存储型跨站脚本漏洞。不充分的输入清理和输出转义允许具有贡献者级别或更高权限的攻击者向页面中注入持久性恶意脚本。第一个修复参考指向标记 2.27.5。
影响分析
GPTranslate 使用 AI (基于 LLM 的翻译) 作为其核心功能,这意味着 XSS 有效负载可以嵌入在通过 REST API 返回并存储在站点上的 AI 翻译内容中。在信任 AI 翻译输出并未清理呈现的 WordPress 站点上,攻击者可注入脚本以窃取会话 cookie (包括管理令牌)、重定向用户或泄露 AI 翻译内容 — 影响所有使用此插件来提供多语言 AI 驱动内容的站点。
攻击途径
已认证的攻击者 (贡献者以上) 通过 REST API 翻译存储端点注入恶意脚本;存储的有效负载在受害者查看 AI 翻译页面时在其浏览器中执行
受影响系统
GPTranslate – 适用于 WordPress 的多语言 AI 翻译插件,所有版本 ≤ 2.31
缓解措施
将 GPTranslate 插件更新到 2.27.5 版本或更高版本。NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-9109