무슨 일이 있었나
널리 배포된 AI 챗봇 솔루션인 WordPress용 ChatBot 플러그인은 7.9.7 버전 이하에서 손상된 액세스 제어 취약점을 포함하고 있습니다. 2026년 6월 15일 공개됨 (CVSS 7.1 HIGH). Subscriber 수준의 인증된 사용자는 Administrator와 같은 더 높은 역할로만 제한되어야 하는 기능 또는 데이터에 액세스할 수 있습니다.
왜 중요한가
Chatbot 플러그인은 민감한 고객 데이터, AI 모델 API 자격증명, 챗봇의 동작을 정의하는 맞춤형 프롬프트/시스템 명령 구성을 포함하는 대화 기록을 자주 저장합니다. Subscriber 수준의 액세스 제어 우회는 낮은 신뢰도의 등록된 사용자가 개인 채팅 로그를 읽고, AI API 키를 유출하거나, 후속 사용자 모두에 대해 봇의 동작을 하이재킹하기 위해 봇의 시스템 프롬프트를 수정할 수 있게 합니다.
공격 경로
Subscriber 수준 권한을 가진 인증된 공격자는 ChatBot 플러그인 ≤ 7.9.7의 손상된 액세스 제어 논리를 악용하여 챗봇 구성, 대화 로그 또는 더 높은 권한의 역할로만 제한된 기타 기능에 액세스하거나 수정합니다.
영향받는 시스템
ChatBot for WordPress ≤ 7.9.7
완화 방안
ChatBot을 7.9.8 버전 이상으로 업데이트하세요. 권고사항: https://patchstack.com/database/wordpress/plugin/chatbot/vulnerability/wordpress-chatbot-plugin-7-9-7-broken-access-control-vulnerability