Apa yang terjadi
CVE-2026-57362 (CVSS 7.1 Tinggi) dipublikasikan ke NVD pada 2 Juli 2026. Plugin ChatBot WordPress ≤ 8.3.2 berisi kerentanan XSS tercermin yang tidak terautentikasi. Input yang disediakan pengguna dicerminkan ke dalam respons tanpa escaping HTML atau JavaScript yang memadai.
Mengapa penting
Plugin chatbot AI adalah titik masuk umum di situs WordPress. XSS tercermin menargetkan sesi admin dapat menyebabkan pengambilalihan akun dan kompromi situs, memungkinkan penyerang untuk memodifikasi konfigurasi chatbot, mengeksfiltrasi kunci API yang digunakan untuk terhubung ke OpenAI atau penyedia LLM lainnya, atau mengarahkan pengguna akhir ke konten berbahaya.
Vektor serangan
Penyerang yang tidak terautentikasi membuat URL yang berisi payload berbahaya yang dicerminkan tanpa pembersihan oleh plugin ChatBot. Jika administrator terautentikasi mengunjungi URL yang dirancang, skrip dijalankan dalam sesi browser mereka.
Sistem yang terdampak
Plugin ChatBot WordPress ≤ 8.3.2
Mitigasi
Perbarui plugin ChatBot ke versi 8.3.3 atau lebih baru. NVD: https://nvd.nist.gov/vuln/detail/CVE-2026-57362