Apa yang terjadi
Plugin QuantumCloud ChatBot WordPress (<=8.3.7) mengandung kerentanan stored XSS (CVSS 7.1).
Mengapa penting
Narrow blast radius terbatas pada situs WordPress yang menjalankan plugin AI chatbot spesifik ini, tetapi stored XSS dalam widget chatbot dapat digunakan untuk hijack admin sessions atau memanipulasi konfigurasi chatbot yang dilihat oleh site visitors.
Vektor serangan
Improper neutralization dari input selama web page generation memungkinkan penyerang menyimpan malicious script content yang mengeksekusi dalam konteks site visitors/admins yang berinteraksi dengan chatbot.
Sistem yang terdampak
Plugin QuantumCloud ChatBot chatbot, melalui <= 8.3.7
Mitigasi
Update ke versi tertambal beyond 8.3.7 per advisory Patchstack.