事件经过
CVE-2026-27407(CVSS 7.2 HIGH)于 2026-06-15 发布。AI Engine WordPress 插件(为 WordPress 网站提供 ChatGPT/LLM 功能)允许具有编辑器级权限的用户升级到管理员,获得完整网站控制权。
影响分析
AI Engine 是一个将 WordPress 网站连接到 LLM API 的热门插件。升级到管理员的权限升级允许攻击者泄露存储的 API 密钥、修改 AI 生成的内容管道,并从有限的编辑器账户接管完整网站。
攻击途径
具有编辑器级 WordPress 权限的认证用户利用 AI Engine 插件中的权限升级缺陷来获得更高的管理员访问权限。
受影响系统
AI Engine WordPress 插件 ≤ 3.4.9
缓解措施
将 AI Engine 插件更新到 > 3.4.9 的版本。Patchstack 公告:https://patchstack.com/database/wordpress/plugin/ai-engine/vulnerability/wordpress-ai-engine-plugin-3-4-9-privilege-escalation-vulnerability