事件经过
CVE-2026-49082(CVSS 7.4 HIGH)于 2026-06-15 发布。WordPress 版本 ≤ 1.4.8 的 Chatway Live Chat 插件将敏感数据(聊天日志、访客信息或 API 凭证)泄露给不应有权访问的订阅者级用户。
影响分析
AI 聊天机器人插件汇集访客对话,可能存储提供商 API 密钥。向低权限用户泄露敏感数据会导致私人用户交互和 LLM API 凭证泄露的风险。
攻击途径
订阅者级认证用户访问 Chatway Live Chat AI 聊天机器人插件暴露的敏感数据,而无需适当的访问控制。
受影响系统
Chatway Live Chat WordPress 插件 ≤ 1.4.8
缓解措施
将 Chatway Live Chat 插件更新到 > 1.4.8 的版本。Patchstack 公告:https://patchstack.com/database/wordpress/plugin/chatway-live-chat/vulnerability/wordpress-chatway-live-chat-ai-chatbot-customer-support-faq-helpdesk-customer-service-chat-buttons-plugin-1-4-8-sensitive-data-exposure-vulnerability