事件经过
CVE-2026-57362 (CVSS 7.1高) 于2026年7月2日发布到NVD。ChatBot WordPress插件≤8.3.2包含未经身份验证的反射型XSS漏洞。用户提供的输入在响应中反射而无充分的HTML或JavaScript转义。
影响分析
AI聊天机器人插件是WordPress网站上的常见入口点。针对管理员会话的反射型XSS可导致账户接管和网站妥协,允许攻击者修改聊天机器人配置、窃取用于连接OpenAI或其他LLM提供商的API密钥,或将最终用户重定向到恶意内容。
攻击途径
未经身份验证的攻击者制造包含由ChatBot插件反射的未清理恶意负载的URL。如果经身份验证的管理员访问制造的URL,脚本在其浏览器会话中执行。
受影响系统
ChatBot WordPress插件 ≤ 8.3.2
缓解措施
将ChatBot插件更新到8.3.3版本或更高版本。NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-57362