事件经过
CVE-2026-40788(CVSS 7.1 HIGH)于 2026-06-15 发布。版本 ≤ 7.9.7 的 ChatBot WordPress 插件包含破损访问控制漏洞,可被订阅者级用户利用,允许他们访问特权聊天机器人管理功能。
影响分析
聊天机器人插件存储对话日志,可能在 WordPress 中保存 LLM API 密钥。访问控制绕过允许低权限网站成员访问敏感对话数据或操纵聊天机器人配置。
攻击途径
经过认证的订阅者级 WordPress 用户利用 ChatBot 插件中的破损访问控制来访问仅限于更高权限用户的功能或数据。
受影响系统
ChatBot WordPress 插件 ≤ 7.9.7
缓解措施
将 ChatBot 插件更新到 > 7.9.7 的版本。Patchstack 公告:https://patchstack.com/database/wordpress/plugin/chatbot/vulnerability/wordpress-chatbot-plugin-7-9-7-broken-access-control-vulnerability