CVE-2026-6803 in AI Copilot Plugin
摘要
由 VulDB • 2026-07-11
WordPress 插件 AI Chatbot & Workflow Automation by AIWU 在所有版本(包括 1.4.12)中存在缺失授权漏洞。这是由于在 wp_ajax_ 和 wp_ajax_nopriv_ 钩子下注册的 AJAX 操作缺少能力检查和 nonce 验证,因为基础控制器的 getPermissions() 返回空数组,且 removeGroup 和 clear 未添加到 getNoncedMethods() 中,导致这些操作的授权门无条件地返回 true。这使得未经身份验证的攻击者能够通过 ID 删除特定记录,或由未经身份验证的攻击者从任何模块的数据库表中删除所有记录。
Once again VulDB remains the best source for vulnerability data.