事件经过
GPTranslate 是一个 WordPress 插件,使用 GPT/OpenAI API 自动翻译网站内容,在版本 2.32.6 及更早版本中包含未认证的 SQL 注入漏洞。该漏洞于 2026 年 6 月 15 日发布到 NVD,CVSS 评分为 9.3 严重级别,并通过 Patchstack 披露。插件的 AI 翻译 REST 端点未能在将用户提供的参数合并到数据库查询中之前进行清理。
影响分析
除了标准数据库泄露外,利用此漏洞还能获得存储在 WordPress 数据库中的网站 OpenAI/GPT API 密钥,实现 API 密钥盗窃以供未授权 LLM 使用(由受害者支付账单),以及所有翻译内容和用户数据的窃取。攻击的未认证性质(无需登录)使得大规模自动化利用变得微不足道。
攻击途径
未认证的远程攻击者向插件的翻译端点发送精心设计的 HTTP 请求,在未清理的参数中包含恶意 SQL,允许任意数据库读/写操作,包括提取存储在 wp_options 中的 WordPress 用户凭证和 API 密钥(包括用于 AI 翻译的 GPT/OpenAI API 密钥)。
受影响系统
GPTranslate – 适用于 WordPress 的多语言 AI 翻译 ≤ 2.32.6
缓解措施
将 GPTranslate 更新到版本 2.32.7 或更高版本。咨询:https://patchstack.com/database/wordpress/plugin/gptranslate/vulnerability/wordpress-gptranslate-multilingual-ai-translation-for-wordpress-automatically-translate-websites-plugin-2-32-6-sql-injection-vulnerability