무슨 일이 있었나
CVE-2026-57362 (CVSS 7.1 높음)은 2026년 7월 2일 NVD에 게시되었습니다. ChatBot WordPress 플러그인 ≤ 8.3.2는 인증되지 않은 반사 XSS 취약점을 포함합니다. 사용자 제공 입력은 적절한 HTML 또는 JavaScript 이스케이핑 없이 응답에 반사됩니다.
왜 중요한가
AI 챗봇 플러그인은 WordPress 사이트에서 일반적인 진입점입니다. 관리자 세션을 대상으로 한 반사 XSS는 계정 탈취 및 사이트 손상으로 이어질 수 있어 공격자가 챗봇 구성을 수정하고 OpenAI 또는 다른 LLM 공급자에 연결하는 데 사용되는 API 키를 유출하거나 최종 사용자를 악의적 콘텐츠로 리다이렉트할 수 있습니다.
공격 경로
인증되지 않은 공격자가 ChatBot 플러그인에 의해 새니타이즈되지 않고 반사된 악의적 페이로드를 포함하는 URL을 만듭니다. 인증된 관리자가 제작된 URL을 방문하면 스크립트는 해당 브라우저 세션에서 실행됩니다.
영향받는 시스템
ChatBot WordPress 플러그인 ≤ 8.3.2
완화 방안
ChatBot 플러그인을 버전 8.3.3 이상으로 업데이트하세요. NVD: https://nvd.nist.gov/vuln/detail/CVE-2026-57362