Apa yang terjadi
Chatway Live Chat, plugin WordPress yang menyediakan fungsi AI chatbot, live chat, dan customer support, mengandung kerentanan paparan data sensitif di versi hingga dan termasuk 1.4.8. Dipublikasikan 15 Juni 2026 (CVSS 7.4 HIGH). Pengguna tingkat Subscriber dapat mengakses data sensitif yang seharusnya tidak mereka otorisasi untuk dilihat.
Mengapa penting
AI chatbots yang digunakan dalam konteks customer support secara rutin menangani PII (nama, email, detail pesanan), riwayat percakapan, dan dapat menyimpan atau memproksikan API keys untuk layanan AI backend. Paparan data ini kepada pengguna dengan privilege rendah melanggar privasi pelanggan, dapat melanggar kewajiban GDPR/perlindungan data, dan dapat memungkinkan pencurian API key untuk penggunaan layanan AI yang tidak sah.
Vektor serangan
Pengguna terautentikasi dengan privilege tingkat Subscriber (peran WordPress terendah, mudah diperoleh melalui pendaftaran mandiri di sebagian besar situs) memanfaatkan kontrol akses yang tidak cukup di endpoint pengambilan data plugin untuk mengakses data sensitif di luar cakupan otorisasi mereka.
Sistem yang terdampak
Chatway Live Chat – AI Chatbot, Customer Support, FAQ & Helpdesk ≤ 1.4.8
Mitigasi
Perbarui Chatway Live Chat ke versi 1.4.9 atau lebih baru. Penasihat: https://patchstack.com/database/wordpress/plugin/chatway-live-chat/vulnerability/wordpress-chatway-live-chat-ai-chatbot-customer-support-faq-helpdesk-customer-service-chat-buttons-plugin-1-4-8-sensitive-data-exposure-vulnerability