何が起きたか
CVE-2026-40788 (CVSS 7.1 HIGH) は 2026-06-15 に公開されました。バージョン ≤ 7.9.7 の ChatBot WordPress プラグインに認可制御不備が存在し、サブスクライバーレベルのユーザーが特権的なチャットボット管理機能にアクセスできます。
なぜ重要か
Chatbot プラグインは会話ログを保存し、WordPress に LLM API キーを保持する可能性があります。アクセス制御の迂回により、低い権限のサイトメンバーが機密の会話データにアクセスしたり、チャットボット設定を操作したりできます。
攻撃経路
認証されたサブスクライバーレベルの WordPress ユーザーが ChatBot プラグインの認可制御不備を悪用し、より高い権限のユーザーに限定された機能またはデータにアクセスします。
影響を受けるシステム
ChatBot WordPress プラグイン ≤ 7.9.7
緩和策
ChatBot プラグインをバージョン > 7.9.7 に更新してください。Patchstack アドバイザリ: https://patchstack.com/database/wordpress/plugin/chatbot/vulnerability/wordpress-chatbot-plugin-7-9-7-broken-access-control-vulnerability