何が起きたか
CVE-2026-49082 (CVSS 7.4 HIGH) は 2026-06-15 に公開されました。WordPress 向け Chatway Live Chat プラグインのバージョン ≤ 1.4.8 では、機密データ (チャットログ、訪問者情報、API 認証情報) がアクセス権を持つべきではないサブスクライバーレベルのユーザーに公開されます。
なぜ重要か
AI チャットボットプラグインは訪問者の会話を集約し、プロバイダーの API キーを保存する場合があります。低権限ユーザーへの機密データ公開により、プライベートなユーザーインタラクションと LLM API 認証情報が漏洩するリスクがあります。
攻撃経路
サブスクライバーレベルの認証済みユーザーが、Chatway Live Chat AI チャットボットプラグインによって公開された機密データに適切なアクセス制御なしでアクセスします。
影響を受けるシステム
Chatway Live Chat WordPress プラグイン ≤ 1.4.8
緩和策
Chatway Live Chat プラグインをバージョン > 1.4.8 に更新してください。Patchstack アドバイザリ: https://patchstack.com/database/wordpress/plugin/chatway-live-chat/vulnerability/wordpress-chatway-live-chat-ai-chatbot-customer-support-faq-helpdesk-customer-service-chat-buttons-plugin-1-4-8-sensitive-data-exposure-vulnerability