Kerentanan  ·  2026-07-03

ChatBot WordPress Plugin — Unauthenticated Reflected XSS (CVE-2026-57362)

KerentananMedium dampakGlobalCVE-2026-57362
CVE-2026-57362 (CVSS 7.1 Tinggi) dipublikasikan ke NVD pada 2 Juli 2026. Plugin ChatBot WordPress ≤ 8.3.2 berisi kerentanan XSS tercermin yang tidak terautentikasi. Input yang disediakan pengguna dicerminkan ke dalam respons tanpa escaping HTML atau JavaScript yang memadai.
Plugin chatbot AI adalah titik masuk umum di situs WordPress. XSS tercermin menargetkan sesi admin dapat menyebabkan pengambilalihan akun dan kompromi situs, memungkinkan penyerang untuk memodifikasi konfigurasi chatbot, mengeksfiltrasi kunci API yang digunakan untuk terhubung ke OpenAI atau penyedia LLM lainnya, atau mengarahkan pengguna akhir ke konten berbahaya.
Penyerang yang tidak terautentikasi membuat URL yang berisi payload berbahaya yang dicerminkan tanpa pembersihan oleh plugin ChatBot. Jika administrator terautentikasi mengunjungi URL yang dirancang, skrip dijalankan dalam sesi browser mereka.
Plugin ChatBot WordPress ≤ 8.3.2
Perbarui plugin ChatBot ke versi 8.3.3 atau lebih baru. NVD: https://nvd.nist.gov/vuln/detail/CVE-2026-57362
Sumber
NVD — CVE-2026-57362GitHub Advisory GHSA-3pc2-v6g3-vwg9
Lihat di umpan langsung Jelajahi temuan keamanan dan tata kelola AI terkait — diperbarui setiap pagi.
Buka umpan →