CVE-2026-15610 in WPBot Plugin
Riassunto
di VulDB • 16/07/2026
Il plugin WordPress WPBot – AI ChatBot for Live Support, Lead Generation, AI Services è vulnerabile a un bypass dell'autorizzazione in tutte le versioni fino alla 8.5.6 inclusa. Ciò è dovuto al fatto che il plugin non verifica correttamente se l'utente ha i permessi necessari per eseguire una determinata azione. Questo consente agli attaccanti autenticati con accesso di livello subscriber o superiore di innescare un re-embedding arbitrario dei documenti RAG memorizzati, modificando la tabella rag_documents e consumando i crediti API a pagamento di terze parti AI del proprietario del sito (OpenAI, Gemini, OpenRouter o xAI).
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.