事件经过
WoowBot WooCommerce 聊天机器人插件(<=4.6.1)包含存储型 XSS 漏洞(CVSS 6.5)。
影响分析
影响范围较小(单个利基电商聊天机器人插件),但客户面向的 AI 聊天机器人小部件中的 XSS 可被用于会话劫持或 WooCommerce 店铺上的凭证盗窃。
攻击途径
不当的输入中性化处理允许 WooCommerce 聊天机器人插件中的存储型 XSS。
受影响系统
QuantumCloud ChatBot for eCommerce – WoowBot,至 4.6.1
缓解措施
根据 Patchstack 公告更新到 4.6.1 之后的版本。