漏洞  ·  2026-07-03

WPBot AI ChatBot for WordPress — 通过对话参数的经身份验证存储型XSS (CVE-2026-13731)

漏洞Medium 影响GlobalCVE-2026-13731
CVE-2026-13731 (CVSS 7.2高) 于2026年7月1日发布到NVD。WPBot AI ChatBot WordPress插件在所有版本中(包括8.4.9及更低版本)容易受到通过"对话"参数的存储型XSS影响,原因是输入清理和输出转义不足。
AI聊天机器人插件处理和记录用户提供的对话内容,该内容随后在管理仪表板中显示。AI聊天日志UI中的存储型XSS可被利用来劫持依赖聊天机器人提供实时支持或潜在客户生成的网站上的管理员会话,可能导致网站被接管。
经身份验证的用户(种子中未指定最小角色)在"对话"参数中提供恶意负载。输入清理和输出转义不足导致负载在任何用户查看对话时被存储和呈现为HTML/JS。
WPBot – AI ChatBot for Live Support, Lead Generation, AI Services (WordPress插件) ≤ 8.4.9
将WPBot插件更新到8.5.0版本或更高版本。NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-13731
来源
NVD — CVE-2026-13731
在实时动态中查看 浏览更多 AI 安全与治理相关发现 — 每日清晨更新。
打开动态 →