무슨 일이 있었나
AI 챗봇, 라이브 채팅 및 고객 지원 기능을 제공하는 WordPress 플러그인인 Chatway Live Chat는 1.4.8 버전 이하에서 민감 정보 노출 취약점을 포함하고 있습니다. 2026년 6월 15일 공개됨 (CVSS 7.4 높음). 구독자 수준 사용자는 승인되지 않은 민감 정보에 접근할 수 있습니다.
왜 중요한가
고객 지원 환경에서 배포된 AI 챗봇은 PII (이름, 이메일, 주문 세부사항), 대화 기록을 정기적으로 처리하며 백엔드 AI 서비스를 위한 API 키를 저장하거나 프록시할 수 있습니다. 이 데이터가 낮은 권한의 사용자에게 노출되면 고객 개인정보 보호 위반, GDPR/데이터 보호 의무 위반 가능성, 그리고 무단 AI 서비스 사용을 위한 API 키 도용을 가능하게 할 수 있습니다.
공격 경로
구독자 수준 권한 (대부분의 사이트에서 자체 등록으로 쉽게 획득 가능한 최하위 WordPress 역할)을 가진 인증된 사용자가 플러그인의 데이터 검색 엔드포인트에서 불충분한 접근 제어를 악용하여 권한 범위 외의 민감 정보에 접근합니다.
영향받는 시스템
Chatway Live Chat – AI Chatbot, Customer Support, FAQ & Helpdesk ≤ 1.4.8
완화 방안
Chatway Live Chat를 버전 1.4.9 이상으로 업데이트하세요. 권고: https://patchstack.com/database/wordpress/plugin/chatway-live-chat/vulnerability/wordpress-chatway-live-chat-ai-chatbot-customer-support-faq-helpdesk-customer-service-chat-buttons-plugin-1-4-8-sensitive-data-exposure-vulnerability