何が起きたか
CVE-2026-40788 (CVSS 7.1 HIGH) は2026-06-15に公開されました。バージョン≤ 7.9.7のChatBot WordPressプラグインには、サブスクライバーレベルのユーザーが利用可能な不正なアクセス制御が含まれており、特権的なチャットボット管理機能にアクセスできます。
なぜ重要か
チャットボットプラグインは会話ログを保存し、LLM APIキーをWordPressに保持する可能性があります。アクセス制御バイパスにより、低権限のサイトメンバーが機密の会話データにアクセスしたり、チャットボット構成を操作したりできます。
攻撃経路
認証済みのサブスクライバーレベルのWordPressユーザーがChatBotプラグインの不正なアクセス制御を悪用して、より高い権限を持つユーザーに制限された機能またはデータにアクセスします。
影響を受けるシステム
ChatBot WordPress plugin ≤ 7.9.7
緩和策
ChatBotプラグインをバージョン> 7.9.7に更新してください。Patchtackアドバイザリ: https://patchstack.com/database/wordpress/plugin/chatbot/vulnerability/wordpress-chatbot-plugin-7-9-7-broken-access-control-vulnerability