무슨 일이 있었나
CVE-2026-13731 (CVSS 7.2 높음)은 2026년 7월 1일 NVD에 게시되었습니다. WordPress용 WPBot AI ChatBot 플러그인은 불충분한 입력 새니타이제이션 및 출력 이스케이핑으로 인해 8.4.9 버전 이하 모든 버전에서 '대화' 매개변수를 통한 저장 XSS에 취약합니다.
왜 중요한가
AI 챗봇 플러그인은 사용자 제공 대화 콘텐츠를 처리하고 기록하며, 이는 관리자 대시보드에 표시됩니다. AI 채팅 로그 UI의 저장 XSS는 라이브 지원 또는 리드 생성을 위해 챗봇에 의존하는 사이트의 관리자 세션을 하이재킹하여 사이트 전체 제어로 이어질 수 있습니다.
공격 경로
인증된 사용자(최소 역할 시드에서 지정되지 않음)가 '대화' 매개변수에 악의적 페이로드를 제공합니다. 불충분한 입력 새니타이제이션 및 출력 이스케이핑으로 인해 페이로드가 저장되고 모든 사용자가 대화를 볼 때 HTML/JS로 렌더링됩니다.
영향받는 시스템
WPBot – AI ChatBot for Live Support, Lead Generation, AI Services (WordPress 플러그인) ≤ 8.4.9
완화 방안
WPBot 플러그인을 버전 8.5.0 이상으로 업데이트하세요. NVD: https://nvd.nist.gov/vuln/detail/CVE-2026-13731