Apa yang terjadi
Chatway Live Chat, sebuah plugin WordPress yang menyediakan fungsionalitas chatbot AI, live chat, dan dukungan pelanggan, berisi kerentanan paparan data sensitif di versi hingga dan termasuk 1.4.8. Dipublikasikan 15 Juni 2026 (CVSS 7.4 HIGH). Pengguna tingkat Subscriber dapat mengakses data sensitif yang seharusnya tidak mereka beri otorisasi untuk dilihat.
Mengapa penting
Chatbot AI yang digunakan dalam konteks dukungan pelanggan secara rutin menangani PII (nama, email, detail pesanan), riwayat percakapan, dan mungkin menyimpan atau mewakilai kunci API untuk layanan AI backend. Paparan data ini kepada pengguna dengan hak rendah melanggar privasi pelanggan, dapat melanggar kewajiban GDPR/perlindungan data, dan dapat memungkinkan pencurian kunci API untuk penggunaan layanan AI yang tidak sah.
Vektor serangan
Pengguna yang diautentikasi dengan hak istimewa tingkat Subscriber (peran WordPress terendah, mudah diperoleh melalui pendaftaran mandiri di sebagian besar situs) mengeksploitasi kontrol akses yang tidak cukup di titik akhir pengambilan data plugin untuk mengakses data sensitif di luar cakupan otorisasi mereka.
Sistem yang terdampak
Chatway Live Chat – AI Chatbot, Customer Support, FAQ & Helpdesk ≤ 1.4.8
Mitigasi
Perbarui Chatway Live Chat ke versi 1.4.9 atau lebih baru. Penasihat: https://patchstack.com/database/wordpress/plugin/chatway-live-chat/vulnerability/wordpress-chatway-live-chat-ai-chatbot-customer-support-faq-helpdesk-customer-service-chat-buttons-plugin-1-4-8-sensitive-data-exposure-vulnerability