事件经过
ChatBot for WordPress 插件是一个广泛部署的 AI 聊天机器人解决方案,在版本 7.9.7 及更早版本中包含访问控制破坏漏洞。发布于 2026 年 6 月 15 日(CVSS 7.1 高危)。订阅者级已认证用户可以访问应该仅限于管理员等更高角色的功能或数据。
影响分析
聊天机器人插件经常存储包含敏感客户数据的对话历史、AI 模型 API 凭证和定义聊天机器人行为的自定义提示/系统指令配置。订阅者级访问控制绕过允许低信任度的已注册用户读取私密聊天日志、窃取 AI API 密钥或修改机器人的系统提示以劫持其对所有后续用户的行为。
攻击途径
具有订阅者级权限的已认证攻击者利用 ChatBot 插件 ≤ 7.9.7 中的访问控制破坏逻辑来访问或修改应该仅限于更高权限角色的聊天机器人配置、对话日志或其他功能。
受影响系统
ChatBot for WordPress ≤ 7.9.7
缓解措施
将 ChatBot 更新到版本 7.9.8 或更高版本。咨询:https://patchstack.com/database/wordpress/plugin/chatbot/vulnerability/wordpress-chatbot-plugin-7-9-7-broken-access-control-vulnerability