何が起きたか
CVE-2026-49082 (CVSS 7.4 HIGH) は 2026-06-15 に公開されました。WordPress の Chatway Live Chat プラグイン バージョン ≤ 1.4.8 は、アクセス権限を持たないべき購読者レベルのユーザーに対して、機密データ (チャットログ、訪問者情報、API 認証情報) を公開しています。
なぜ重要か
AI チャットボット プラグインは訪問者の会話を集約し、プロバイダー API キーを保存する可能性があります。低い特権レベルのユーザーへの機密データ公開により、プライベートなユーザーとのやり取りと LLM API 認証情報がリークするリスクがあります。
攻撃経路
購読者レベルで認証されたユーザーが、適切なアクセス制御なしに Chatway Live Chat AI チャットボット プラグインによって公開された機密データにアクセスします。
影響を受けるシステム
Chatway Live Chat WordPress プラグイン ≤ 1.4.8
緩和策
Chatway Live Chat プラグインをバージョン > 1.4.8 に更新してください。Patchstack アドバイザリ: https://patchstack.com/database/wordpress/plugin/chatway-live-chat/vulnerability/wordpress-chatway-live-chat-ai-chatbot-customer-support-faq-helpdesk-customer-service-chat-buttons-plugin-1-4-8-sensitive-data-exposure-vulnerability