何が起きたか
WordPress向けChatBotプラグイン(広く導入されているAIチャットボットソリューション)は、バージョン7.9.7以下に認可メカニズムの破損脆弱性を含んでいます。公開日:2026年6月15日 (CVSS 7.1 HIGH)。サブスクライバーレベルの認証済みユーザーは、管理者などの高い役割に限定されるべき機能またはデータにアクセスできます。
なぜ重要か
チャットボットプラグインは頻繁に、機密顧客データ、AIモデルAPIの認証情報、およびチャットボットの動作を定義するカスタムプロンプト/システム命令設定を含む会話履歴を保存しています。サブスクライバーレベルのアクセス制御バイパスにより、信頼度の低い登録ユーザーが非公開チャットログの読み取り、AI APIキーの流出、またはその後のすべてのユーザーに対するボットの動作ハイジャック用にシステムプロンプトを修正することが可能になります。
攻撃経路
認証済みの攻撃者がサブスクライバーレベルの権限を持ち、ChatBot プラグイン ≤ 7.9.7 のアクセス制御ロジックの破損を悪用して、チャットボット構成、会話ログ、またはより高い権限の役割に限定されるその他の機能にアクセスまたは修正します。
影響を受けるシステム
ChatBot for WordPress ≤ 7.9.7
緩和策
ChatBot をバージョン7.9.8以降に更新してください。勧告:https://patchstack.com/database/wordpress/plugin/chatbot/vulnerability/wordpress-chatbot-plugin-7-9-7-broken-access-control-vulnerability