Apa yang terjadi
CVE-2026-49082 (CVSS 7.4 HIGH) dipublikasikan 2026-06-15. Plugin Chatway Live Chat untuk WordPress dalam versi ≤ 1.4.8 mengekspos data sensitif (log chat, informasi pengunjung, atau kredensial API) kepada pengguna tingkat subscriber yang seharusnya tidak memiliki akses.
Mengapa penting
Plugin chatbot AI mengagregasi percakapan pengunjung dan mungkin menyimpan kunci API penyedia. Paparan data sensitif kepada pengguna dengan privilege rendah berisiko membocorkan interaksi pengguna pribadi dan kredensial API LLM.
Vektor serangan
Pengguna terautentikasi tingkat subscriber mengakses data sensitif yang diekspos oleh plugin chatbot AI Chatway Live Chat tanpa kontrol akses yang tepat.
Sistem yang terdampak
Plugin WordPress Chatway Live Chat ≤ 1.4.8
Mitigasi
Perbarui plugin Chatway Live Chat ke versi > 1.4.8. Pemberitahuan Patchstack: https://patchstack.com/database/wordpress/plugin/chatway-live-chat/vulnerability/wordpress-chatway-live-chat-ai-chatbot-customer-support-faq-helpdesk-customer-service-chat-buttons-plugin-1-4-8-sensitive-data-exposure-vulnerability