何が起きたか
CVE-2026-57362 (CVSS 7.1 高) は 2026年7月2日に NVD に公開されました。ChatBot WordPress プラグイン ≤ 8.3.2 は、認証されていない反射型 XSS 脆弱性を含みます。ユーザー提供の入力は、適切な HTML または JavaScript エスケープなしでレスポンスに反射されます。
なぜ重要か
AI チャットボットプラグインは WordPress サイト上の一般的なエントリポイントです。管理者セッションをターゲットとした反射型 XSS は、アカウント買収とサイト侵害につながる可能性があり、攻撃者がチャットボット構成を変更し、OpenAI またはその他の LLM プロバイダーに接続するために使用される API キーを流出させ、またはエンドユーザーを悪意のあるコンテンツにリダイレクトすることができます。
攻撃経路
認証されていない攻撃者は、ChatBot プラグインによってサニタイズされていない反射される悪意のあるペイロードを含む URL を作成します。認証された管理者が細工された URL にアクセスすると、スクリプトは管理者のブラウザセッションで実行されます。
影響を受けるシステム
ChatBot WordPress プラグイン ≤ 8.3.2
緩和策
ChatBot プラグインをバージョン 8.3.3 以降に更新します。NVD: https://nvd.nist.gov/vuln/detail/CVE-2026-57362