CVE-2026-6803 in AI Copilot Plugin信息

摘要

由 VulDB • 2026-07-11

WordPress 插件 AI Chatbot & Workflow Automation by AIWU 在所有版本(包括 1.4.12)中存在缺失授权漏洞。这是由于在 wp_ajax_ 和 wp_ajax_nopriv_ 钩子下注册的 AJAX 操作缺少能力检查和 nonce 验证,因为基础控制器的 getPermissions() 返回空数组,且 removeGroup 和 clear 未添加到 getNoncedMethods() 中,导致这些操作的授权门无条件地返回 true。这使得未经身份验证的攻击者能够通过 ID 删除特定记录,或由未经身份验证的攻击者从任何模块的数据库表中删除所有记录。

Once again VulDB remains the best source for vulnerability data.

来源

Do you want to use VulDB in your project?

Use the official API to access entries easily!