무슨 일이 있었나
AI 챗봇, 라이브 채팅 및 고객 지원 기능을 제공하는 WordPress 플러그인인 Chatway Live Chat는 1.4.8 버전 이하에서 민감 데이터 노출 취약점을 포함하고 있습니다. 2026년 6월 15일 공개 (CVSS 7.4 HIGH). 구독자 수준의 사용자는 인가되지 않은 민감 데이터에 접근할 수 있습니다.
왜 중요한가
고객 지원 환경에 배포된 AI 챗봇은 일상적으로 PII(이름, 이메일, 주문 정보), 대화 기록을 처리하며 백엔드 AI 서비스를 위한 API 키를 저장하거나 프록시할 수 있습니다. 이 데이터가 낮은 권한 사용자에게 노출되면 고객 개인정보 보호를 침해하고 GDPR/데이터 보호 의무를 위반할 수 있으며, 무단 AI 서비스 사용을 위한 API 키 도용을 가능하게 할 수 있습니다.
공격 경로
구독자 수준 권한(대부분의 사이트에서 자체 등록으로 쉽게 얻을 수 있는 최하위 WordPress 역할)을 가진 인증된 사용자가 플러그인의 데이터 검색 엔드포인트에서 부족한 접근 제어를 악용하여 인가 범위 외의 민감 데이터에 접근합니다.
영향받는 시스템
Chatway Live Chat – AI Chatbot, Customer Support, FAQ & Helpdesk ≤ 1.4.8
완화 방안
Chatway Live Chat를 1.4.9 버전 이상으로 업데이트하세요. 권고: https://patchstack.com/database/wordpress/plugin/chatway-live-chat/vulnerability/wordpress-chatway-live-chat-ai-chatbot-customer-support-faq-helpdesk-customer-service-chat-buttons-plugin-1-4-8-sensitive-data-exposure-vulnerability