何が起きたか
Chatway Live Chat は、AI チャットボット、ライブチャット、カスタマーサポート機能を提供する WordPress プラグインであり、バージョン 1.4.8 以前に、機密データ暴露の脆弱性が含まれています。2026 年 6 月 15 日に公開されました (CVSS 7.4 HIGH)。購読者レベルのユーザーは、アクセスを許可されるべきではない機密データにアクセスできます。
なぜ重要か
カスタマーサポートコンテキストに配置された AI チャットボットは、PII (名前、メール、注文詳細)、会話履歴を日常的に処理し、バックエンド AI サービスの API キーを保存またはプロキシする可能性があります。このデータが低権限ユーザーに暴露されることは、顧客プライバシーを侵害し、GDPR およびデータ保護義務の違反となる可能性があり、不正な AI サービス使用のための API キー盗難を可能にします。
攻撃経路
購読者レベルの権限を持つ認証ユーザー (ほとんどのサイトで自己登録により簡単に取得できる最も低い WordPress ロール) が、プラグインのデータ取得エンドポイントの不十分なアクセス制御を悪用して、認可範囲外の機密データにアクセスします。
影響を受けるシステム
Chatway Live Chat – AI Chatbot, Customer Support, FAQ & Helpdesk ≤ 1.4.8
緩和策
Chatway Live Chat をバージョン 1.4.9 以降に更新してください。告知: https://patchstack.com/database/wordpress/plugin/chatway-live-chat/vulnerability/wordpress-chatway-live-chat-ai-chatbot-customer-support-faq-helpdesk-customer-service-chat-buttons-plugin-1-4-8-sensitive-data-exposure-vulnerability