漏洞  ·  2026-07-03

ChatBot WordPress插件 — 未经身份验证的反射型XSS (CVE-2026-57362)

漏洞Medium 影响GlobalCVE-2026-57362
CVE-2026-57362 (CVSS 7.1高) 于2026年7月2日发布到NVD。ChatBot WordPress插件≤8.3.2包含未经身份验证的反射型XSS漏洞。用户提供的输入在响应中反射而无充分的HTML或JavaScript转义。
AI聊天机器人插件是WordPress网站上的常见入口点。针对管理员会话的反射型XSS可导致账户接管和网站妥协,允许攻击者修改聊天机器人配置、窃取用于连接OpenAI或其他LLM提供商的API密钥,或将最终用户重定向到恶意内容。
未经身份验证的攻击者制造包含由ChatBot插件反射的未清理恶意负载的URL。如果经身份验证的管理员访问制造的URL,脚本在其浏览器会话中执行。
ChatBot WordPress插件 ≤ 8.3.2
将ChatBot插件更新到8.3.3版本或更高版本。NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-57362
来源
NVD — CVE-2026-57362GitHub Advisory GHSA-3pc2-v6g3-vwg9
在实时动态中查看 浏览更多 AI 安全与治理相关发现 — 每日清晨更新。
打开动态 →