Apa yang terjadi
Plugin ChatBot untuk WordPress, solusi chatbot AI yang tersebar luas, berisi kerentanan kontrol akses yang rusak dalam versi hingga dan termasuk 7.9.7. Dipublikasikan 15 Juni 2026 (CVSS 7.1 HIGH). Pengguna terautentikasi tingkat Subscriber dapat mengakses fungsionalitas atau data yang seharusnya dibatasi untuk peran yang lebih tinggi seperti Administrator.
Mengapa penting
Plugin chatbot sering menyimpan riwayat percakapan yang berisi data pelanggan sensitif, kredensial API model AI, dan konfigurasi prompt kustom/instruksi sistem yang mendefinisikan perilaku chatbot. Bypass kontrol akses tingkat Subscriber memungkinkan pengguna terdaftar dengan kepercayaan rendah membaca log chat pribadi, mengeluarkan kunci API AI, atau memodifikasi prompt sistem bot untuk membajak perilakunya untuk semua pengguna selanjutnya.
Vektor serangan
Penyerang terautentikasi dengan hak istimewa tingkat Subscriber mengeksploitasi logika kontrol akses yang rusak dalam plugin ChatBot ≤ 7.9.7 untuk mengakses atau memodifikasi konfigurasi chatbot, log percakapan, atau fungsionalitas lain yang dibatasi untuk peran dengan hak istimewa lebih tinggi.
Sistem yang terdampak
ChatBot for WordPress ≤ 7.9.7
Mitigasi
Perbarui ChatBot ke versi 7.9.8 atau lebih baru. Advisory: https://patchstack.com/database/wordpress/plugin/chatbot/vulnerability/wordpress-chatbot-plugin-7-9-7-broken-access-control-vulnerability