事件经过
CVE-2026-49776(CVSS 9.3 CRITICAL)由 NVD 在 2026-06-15 发布。版本 ≤ 2.32.6 的 GPTranslate WordPress 插件包含未认证 SQL 注入漏洞。无需身份验证即可利用,攻击者可直接访问 WordPress 数据库,包括用户凭证、插件存储的 API 密钥(例如 OpenAI/GPT 密钥)和所有网站内容。
影响分析
AI 翻译插件通常在 WordPress 数据库中存储 LLM 提供商 API 密钥(OpenAI 等)。成功的 SQL 注入不仅会破坏网站,还会直接收集这些 AI 提供商凭证,使攻击者能够滥用它们以 LLM API 访问权限而代价由网站所有者承担。CVSS 严重且未认证利用使这成为高优先级补丁。
攻击途径
未认证远程攻击者向易受攻击的端点发送精心构造的 HTTP 请求,将任意 SQL 注入由 AI 翻译插件执行的数据库查询中,无需任何凭证即可启用完整数据库读写。
受影响系统
GPTranslate – Multilingual AI Translation for WordPress ≤ 2.32.6
缓解措施
将 GPTranslate 更新到 > 2.32.6 的版本。参见 Patchstack 公告:https://patchstack.com/database/wordpress/plugin/gptranslate/vulnerability/wordpress-gptranslate-multilingual-ai-translation-for-wordpress-automatically-translate-websites-plugin-2-32-6-sql-injection-vulnerability