Apa yang terjadi
CVE-2026-13731 (CVSS 7.2 Tinggi) dipublikasikan ke NVD pada 1 Juli 2026. Plugin WPBot AI ChatBot untuk WordPress rentan terhadap XSS penyimpanan melalui parameter 'conversation' di semua versi hingga dan termasuk 8.4.9, karena pembersihan input dan escaping output yang tidak memadai.
Mengapa penting
Plugin chatbot AI memproses dan mencatat konten percakapan yang disediakan pengguna yang kemudian ditampilkan di dasbor admin. XSS penyimpanan dalam UI log chat AI dapat dieksploitasi untuk membajak sesi administrator di situs yang mengandalkan chatbot untuk dukungan langsung atau generasi prospek, berpotensi menyebabkan pengambilalihan situs.
Vektor serangan
Pengguna terautentikasi (peran minimum tidak ditentukan dalam benih) menyediakan payload berbahaya dalam parameter 'conversation'. Pembersihan input yang tidak memadai dan escaping output menyebabkan payload disimpan dan dirender sebagai HTML/JS ketika pengguna apa pun melihat percakapan.
Sistem yang terdampak
WPBot – AI ChatBot for Live Support, Lead Generation, AI Services (plugin WordPress) ≤ 8.4.9
Mitigasi
Perbarui plugin WPBot ke versi 8.5.0 atau lebih baru. NVD: https://nvd.nist.gov/vuln/detail/CVE-2026-13731