何が起きたか
CVE-2026-13731 (CVSS 7.2 高) は 2026年7月1日に NVD に公開されました。WordPress 用 WPBot AI ChatBot プラグインは、8.4.9 までのすべてのバージョンで、「conversation」パラメータによる保存型 XSS に対して脆弱です。入力サニタイズと出力エスケープが不十分なため です。
なぜ重要か
AI チャットボットプラグインはユーザー提供の会話コンテンツを処理およびログに記録し、その後、管理者ダッシュボードに表示されます。AI チャットログ UI の保存型 XSS は、ライブサポートやリード生成にチャットボットを使用しているサイトの管理者セッションをハイジャックするために悪用でき、サイト買収につながる可能性があります。
攻撃経路
認証されたユーザー (シードで指定されていないの最小ロール) は、「conversation」パラメータに悪意のあるペイロードを供給します。入力サニタイズと出力エスケープが不十分なため、ペイロードが保存され、ユーザーが会話を表示するときに HTML/JS としてレンダリングされます。
影響を受けるシステム
WPBot – AI ChatBot for Live Support, Lead Generation, AI Services (WordPress プラグイン) ≤ 8.4.9
緩和策
WPBot プラグインをバージョン 8.5.0 以降に更新します。NVD: https://nvd.nist.gov/vuln/detail/CVE-2026-13731