무슨 일이 있었나
CVE-2026-40788 (CVSS 7.1 HIGH)는 2026-06-15에 발표되었습니다. 버전 ≤ 7.9.7의 ChatBot WordPress 플러그인은 subscriber 수준의 사용자가 악용할 수 있는 broken access control을 포함하고 있으며, 이를 통해 권한이 있는 chatbot 관리 기능에 접근할 수 있습니다.
왜 중요한가
Chatbot 플러그인은 대화 로그를 저장하고 WordPress에서 LLM API 키를 보유할 수 있습니다. Access control bypass는 낮은 권한의 사이트 구성원이 민감한 대화 데이터에 접근하거나 chatbot 구성을 조작할 수 있게 합니다.
공격 경로
인증된 subscriber 수준의 WordPress 사용자가 ChatBot 플러그인의 broken access control을 악용하여 높은 권한의 사용자에게만 제한된 기능이나 데이터에 접근합니다.
영향받는 시스템
ChatBot WordPress plugin ≤ 7.9.7
완화 방안
ChatBot 플러그인을 버전 > 7.9.7로 업데이트하세요. Patchstack 공지: https://patchstack.com/database/wordpress/plugin/chatbot/vulnerability/wordpress-chatbot-plugin-7-9-7-broken-access-control-vulnerability