脆弱性  ·  2026-07-03

ChatBot WordPress プラグイン — 認証なし反射型XSS (CVE-2026-57362)

脆弱性Medium 影響度GlobalCVE-2026-57362
CVE-2026-57362 (CVSS 7.1 高) は 2026年7月2日に NVD に公開されました。ChatBot WordPress プラグイン ≤ 8.3.2 は、認証されていない反射型 XSS 脆弱性を含みます。ユーザー提供の入力は、適切な HTML または JavaScript エスケープなしでレスポンスに反射されます。
AI チャットボットプラグインは WordPress サイト上の一般的なエントリポイントです。管理者セッションをターゲットとした反射型 XSS は、アカウント買収とサイト侵害につながる可能性があり、攻撃者がチャットボット構成を変更し、OpenAI またはその他の LLM プロバイダーに接続するために使用される API キーを流出させ、またはエンドユーザーを悪意のあるコンテンツにリダイレクトすることができます。
認証されていない攻撃者は、ChatBot プラグインによってサニタイズされていない反射される悪意のあるペイロードを含む URL を作成します。認証された管理者が細工された URL にアクセスすると、スクリプトは管理者のブラウザセッションで実行されます。
ChatBot WordPress プラグイン ≤ 8.3.2
ChatBot プラグインをバージョン 8.3.3 以降に更新します。NVD: https://nvd.nist.gov/vuln/detail/CVE-2026-57362
出典
NVD — CVE-2026-57362GitHub Advisory GHSA-3pc2-v6g3-vwg9
ライブフィードで見る AIセキュリティとガバナンスの関連情報をさらに見る — 毎朝更新。
フィードを開く →