脆弱性  ·  2026-07-03

WPBot AI ChatBot for WordPress — 会話パラメータによる認証済み保存型XSS (CVE-2026-13731)

脆弱性Medium 影響度GlobalCVE-2026-13731
CVE-2026-13731 (CVSS 7.2 高) は 2026年7月1日に NVD に公開されました。WordPress 用 WPBot AI ChatBot プラグインは、8.4.9 までのすべてのバージョンで、「conversation」パラメータによる保存型 XSS に対して脆弱です。入力サニタイズと出力エスケープが不十分なため です。
AI チャットボットプラグインはユーザー提供の会話コンテンツを処理およびログに記録し、その後、管理者ダッシュボードに表示されます。AI チャットログ UI の保存型 XSS は、ライブサポートやリード生成にチャットボットを使用しているサイトの管理者セッションをハイジャックするために悪用でき、サイト買収につながる可能性があります。
認証されたユーザー (シードで指定されていないの最小ロール) は、「conversation」パラメータに悪意のあるペイロードを供給します。入力サニタイズと出力エスケープが不十分なため、ペイロードが保存され、ユーザーが会話を表示するときに HTML/JS としてレンダリングされます。
WPBot – AI ChatBot for Live Support, Lead Generation, AI Services (WordPress プラグイン) ≤ 8.4.9
WPBot プラグインをバージョン 8.5.0 以降に更新します。NVD: https://nvd.nist.gov/vuln/detail/CVE-2026-13731
出典
NVD — CVE-2026-13731
ライブフィードで見る AIセキュリティとガバナンスの関連情報をさらに見る — 毎朝更新。
フィードを開く →