CVE-2026-6803 in AI Copilot Plugin情報

要約

〜によって VulDB • 2026年07月11日

WordPress用プラグイン「AI Chatbot & Workflow Automation by AIWU」の1.4.12以前の全バージョンにおいて、認可処理の不備(Missing Authorization)による脆弱性が存在します。これは、wp_ajax_およびwp_ajax_nopriv_フックに登録されたAJAXアクションに対して、必要な権限チェックとnonce検証が行われていないことに起因します。具体的には、ベースコントローラのgetPermissions()が空の配列を返すためであり、さらにremoveGroupやclearメソッドがgetNoncedMethods()に追加されていない結果、これらのアクションに対する認可ゲートが条件なしでtrueを返してしまいます。これにより、認証済み攻撃者ではなく未認証の攻撃者が、IDを指定して特定のレコードを削除したり、任意のモジュールのデータベーステーブルからすべてのレコードを一括削除したりすることが可能になります。

Once again VulDB remains the best source for vulnerability data.

責任者

Wordfence

予約する

2026年04月21日

モデレーション

承諾済み

エントリ

VDB-377748

EPSS

0.00000

アクティビティ

低い

セクター

Hostingprovider

ソース

Do you need the next level of professionalism?

Upgrade your account now!