무슨 일이 있었나
CVE-2026-49082 (CVSS 7.4 HIGH)는 2026-06-15에 공개되었습니다. WordPress용 Chatway Live Chat 플러그인 버전 ≤ 1.4.8에서는 접근 권한이 없어야 하는 구독자 수준의 사용자에게 민감한 데이터(채팅 로그, 방문자 정보 또는 API 자격증명)를 노출합니다.
왜 중요한가
AI 챗봇 플러그인은 방문자 대화를 수집하고 제공자 API 키를 저장할 수 있습니다. 낮은 권한의 사용자에게 민감한 데이터가 노출되면 개인 사용자 상호작용 및 LLM API 자격증명이 유출될 위험이 있습니다.
공격 경로
구독자 수준의 인증된 사용자가 적절한 접근 제어 없이 Chatway Live Chat AI 챗봇 플러그인이 노출한 민감한 데이터에 접근합니다.
영향받는 시스템
Chatway Live Chat WordPress plugin ≤ 1.4.8
완화 방안
Chatway Live Chat 플러그인을 버전 > 1.4.8로 업데이트하세요. Patchstack 자문: https://patchstack.com/database/wordpress/plugin/chatway-live-chat/vulnerability/wordpress-chatway-live-chat-ai-chatbot-customer-support-faq-helpdesk-customer-service-chat-buttons-plugin-1-4-8-sensitive-data-exposure-vulnerability