何が起きたか
WordPress向けのChatBotプラグインは広く展開されているAIチャットボットソリューションであり、バージョン7.9.7以下に不正アクセス制御脆弱性が含まれています。公開日:2026年6月15日(CVSS 7.1 HIGH)。Subscriber レベルの認証済みユーザーは、Administrator などのより高い役割に制限されるべき機能またはデータにアクセスできます。
なぜ重要か
チャットボットプラグインは頻繁に機密顧客データ、AI モデル API 認証情報、およびチャットボットの動作を定義するカスタムプロンプト/システム命令構成を含む会話履歴を保存します。Subscriber レベルのアクセス制御バイパスにより、信頼度の低い登録ユーザーはプライベートチャットログを読取り、AI API キーを流出させるか、またはボットのシステムプロンプトを変更してその後のすべてのユーザーに対する動作をハイジャックできます。
攻撃経路
Subscriber レベルの特権を持つ認証済み攻撃者は、ChatBot プラグイン ≤ 7.9.7 の不正アクセス制御ロジックを悪用して、チャットボットの構成、会話ログ、またはより高い特権の役割に制限されたその他の機能にアクセスまたは変更します。
影響を受けるシステム
ChatBot for WordPress ≤ 7.9.7
緩和策
ChatBot をバージョン 7.9.8 以降に更新してください。アドバイザリ:https://patchstack.com/database/wordpress/plugin/chatbot/vulnerability/wordpress-chatbot-plugin-7-9-7-broken-access-control-vulnerability