何が起きたか
WordPressプラグインのChatway Live Chatは、AIチャットボット、ライブチャット、カスタマーサポート機能を提供しており、バージョン1.4.8以下に機密データ露出脆弱性が存在します。2026年6月15日公開(CVSS 7.4 HIGH)。購読者レベルのユーザーは、アクセスを許可されていない機密データにアクセスできます。
なぜ重要か
カスタマーサポート環境に配置されたAIチャットボットは、定期的にPII(名前、メールアドレス、注文詳細)、会話履歴を処理し、バックエンドのAIサービス向けAPIキーを保存またはプロキシすることがあります。このデータが低い権限のユーザーに露出すると、顧客プライバシーが侵害され、GDPR/データ保護義務に違反する可能性があり、APIキーの盗難による不正なAIサービス利用を可能にします。
攻撃経路
購読者レベルの権限を持つ認証済みユーザー(ほとんどのサイトで自己登録で容易に取得可能なWordPressの最低ロール)は、プラグインのデータ取得エンドポイントにおける不十分なアクセス制御を悪用して、自分の認可範囲外の機密データにアクセスします。
影響を受けるシステム
Chatway Live Chat – AI Chatbot, Customer Support, FAQ & Helpdesk ≤ 1.4.8
緩和策
Chatway Live Chatをバージョン1.4.9以降に更新してください。勧告: https://patchstack.com/database/wordpress/plugin/chatway-live-chat/vulnerability/wordpress-chatway-live-chat-ai-chatbot-customer-support-faq-helpdesk-customer-service-chat-buttons-plugin-1-4-8-sensitive-data-exposure-vulnerability