事件经过
Chatway Live Chat 是一个 WordPress 插件,提供 AI 聊天机器人、实时聊天和客户支持功能,在版本 1.4.8 及更早版本中包含敏感数据泄露漏洞。发布于 2026 年 6 月 15 日(CVSS 7.4 高危)。订阅者级用户可以访问他们不应被授权查看的敏感数据。
影响分析
在客户支持背景中部署的 AI 聊天机器人经常处理 PII(姓名、电子邮件、订单详情)、对话历史记录,并可能存储或代理后端 AI 服务的 API 密钥。向低权限用户公开此数据违反了客户隐私,可能违反 GDPR/数据保护义务,并可以启用 API 密钥盗窃以供未授权 AI 服务使用。
攻击途径
具有订阅者级权限的已认证用户(大多数网站上通过自注册轻松获得的最低 WordPress 角色)利用插件数据检索端点中的不足访问控制来访问其授权范围外的敏感数据。
受影响系统
Chatway Live Chat – AI 聊天机器人、客户支持、常见问题和帮助台 ≤ 1.4.8
缓解措施
将 Chatway Live Chat 更新到版本 1.4.9 或更高版本。咨询:https://patchstack.com/database/wordpress/plugin/chatway-live-chat/vulnerability/wordpress-chatway-live-chat-ai-chatbot-customer-support-faq-helpdesk-customer-service-chat-buttons-plugin-1-4-8-sensitive-data-exposure-vulnerability