ChatBot WordPress 플러그인 — 구독자 접근 제어 손상 (CVSS 7.1)

널리 배포된 AI 챗봇 솔루션인 WordPress용 ChatBot 플러그인은 버전 7.9.7 이하에서 접근 제어 손상 취약점을 포함하고 있습니다. 2026년 6월 15일 발표됨 (CVSS 7.1 HIGH). 구독자 수준의 인증된 사용자가 관리자와 같은 상위 역할로 제한되어야 하는 기능 또는 데이터에 접근할 수 있습니다.

챗봇 플러그인은 민감한 고객 데이터, AI 모델 API 자격증명, 챗봇의 동작을 정의하는 사용자 지정 프롬프트/시스템 명령 구성을 포함하는 대화 기록을 자주 저장합니다. 구독자 수준의 접근 제어 우회는 낮은 신뢰도의 등록된 사용자가 개인 채팅 로그를 읽거나 AI API 키를 탈취하거나 모든 후속 사용자에 대해 봇의 시스템 프롬프트를 수정하여 동작을 탈취할 수 있게 합니다.

구독자 수준 권한을 가진 인증된 공격자가 ChatBot 플러그인 ≤ 7.9.7의 손상된 접근 제어 로직을 악용하여 챗봇 구성, 대화 로그 또는 상위 권한 역할로 제한된 기타 기능에 접근하거나 수정합니다.

WordPress용 ChatBot ≤ 7.9.7

ChatBot을 버전 7.9.8 이상으로 업데이트하세요. 공지사항: https://patchstack.com/database/wordpress/plugin/chatbot/vulnerability/wordpress-chatbot-plugin-7-9-7-broken-access-control-vulnerability