Apa yang terjadi
CVE-2026-40788 (CVSS 7.1 HIGH) dipublikasikan 2026-06-15. Plugin WordPress ChatBot dalam versi ≤ 7.9.7 mengandung kontrol akses yang rusak yang dapat dieksploitasi oleh pengguna tingkat subscriber, memungkinkan mereka mengakses fungsionalitas manajemen chatbot yang istimewa.
Mengapa penting
Plugin chatbot menyimpan log percakapan dan mungkin menyimpan kunci API LLM di WordPress. Bypass kontrol akses memungkinkan anggota situs dengan hak istimewa rendah untuk mengakses data percakapan sensitif atau memanipulasi konfigurasi chatbot.
Vektor serangan
Pengguna WordPress tingkat subscriber yang terautentikasi mengeksploitasi kontrol akses yang rusak dalam plugin ChatBot untuk mengakses fungsionalitas atau data yang dibatasi untuk pengguna dengan hak istimewa lebih tinggi.
Sistem yang terdampak
Plugin WordPress ChatBot ≤ 7.9.7
Mitigasi
Perbarui plugin ChatBot ke versi > 7.9.7. Pemberitahuan Patchstack: https://patchstack.com/database/wordpress/plugin/chatbot/vulnerability/wordpress-chatbot-plugin-7-9-7-broken-access-control-vulnerability