Apa yang terjadi
Plugin ChatBot untuk WordPress, solusi chatbot AI yang luas penyebarannya, mengandung kerentanan broken access control dalam versi hingga dan termasuk 7.9.7. Dipublikasikan 15 Juni 2026 (CVSS 7.1 HIGH). Pengguna terautentikasi tingkat Subscriber dapat mengakses fungsi atau data yang seharusnya dibatasi untuk peran yang lebih tinggi seperti Administrator.
Mengapa penting
Plugin chatbot sering menyimpan riwayat percakapan yang berisi data pelanggan sensitif, kredensial API model AI, dan konfigurasi prompt kustom/instruksi sistem yang mendefinisikan perilaku chatbot. Bypass kontrol akses tingkat Subscriber memungkinkan pengguna terdaftar dengan kepercayaan rendah untuk membaca log chat pribadi, mengekstrak kunci API AI, atau memodifikasi prompt sistem bot untuk membajak perilakunya bagi semua pengguna berikutnya.
Vektor serangan
Penyerang terautentikasi dengan hak istimewa tingkat Subscriber mengeksploitasi logika broken access control dalam plugin ChatBot ≤ 7.9.7 untuk mengakses atau memodifikasi konfigurasi chatbot, log percakapan, atau fungsi lain yang dibatasi untuk peran yang lebih istimewa.
Sistem yang terdampak
ChatBot untuk WordPress ≤ 7.9.7
Mitigasi
Perbarui ChatBot ke versi 7.9.8 atau lebih baru. Advisory: https://patchstack.com/database/wordpress/plugin/chatbot/vulnerability/wordpress-chatbot-plugin-7-9-7-broken-access-control-vulnerability