무슨 일이 있었나
CVE-2026-40788 (CVSS 7.1 HIGH) 2026-06-15에 공개됨. 버전 ≤ 7.9.7의 ChatBot WordPress 플러그인에는 구독자 수준 사용자가 악용할 수 있는 broken access control이 포함되어 있으며, 이를 통해 권한이 있는 챗봇 관리 기능에 접근할 수 있음.
왜 중요한가
Chatbot 플러그인은 대화 로그를 저장하며 WordPress에 LLM API 키를 보유할 수 있음. Access control bypass는 낮은 권한의 사이트 구성원이 민감한 대화 데이터에 접근하거나 챗봇 구성을 조작할 수 있도록 함.
공격 경로
인증된 구독자 수준의 WordPress 사용자가 ChatBot 플러그인의 broken access control을 악용하여 더 높은 권한 사용자로 제한된 기능이나 데이터에 접근함.
영향받는 시스템
ChatBot WordPress plugin ≤ 7.9.7
완화 방안
ChatBot 플러그인을 버전 > 7.9.7로 업데이트함. Patchstack advisory: https://patchstack.com/database/wordpress/plugin/chatbot/vulnerability/wordpress-chatbot-plugin-7-9-7-broken-access-control-vulnerability