何が起きたか
WoowBot WooCommerceチャットボットプラグイン(≤4.6.1)には、保存型XSS脆弱性(CVSS 6.5)が含まれています。
なぜ重要か
爆発範囲が低い(単一のニッチなeコマースチャットボットプラグイン)ですが、カスタマーフェーシング型AIチャットボットウィジェットのXSSをセッションハイジャックまたはWooCommerceストアフロントでの認証情報盗難に利用できます。
攻撃経路
不適切な入力ニュートラライゼーションにより、WooCommerceチャットボットプラグインの保存型XSSが可能になります。
影響を受けるシステム
QuantumCloud ChatBot for eCommerce – WoowBot、≤4.6.1まで
緩和策
Patchstack勧告に従って4.6.1を超えるように更新してください。