事件经过
QuantumCloud ChatBot WordPress 插件(<=8.3.7)包含存储型 XSS 漏洞(CVSS 7.1)。
影响分析
影响范围狭窄,仅限于运行此特定 AI 聊天机器人插件的 WordPress 网站,但聊天机器人小部件中的存储型 XSS 可用于劫持管理员会话或操纵与网站访问者交互的聊天机器人配置。
攻击途径
在网页生成期间对输入的不当中性化处理允许攻击者存储在与网站访问者/管理员交互的聊天机器人上下文中执行的恶意脚本内容。
受影响系统
QuantumCloud ChatBot 聊天机器人插件,至 8.3.7
缓解措施
根据 Patchstack 公告更新到 8.3.7 之后的修补版本。