CVE-2026-3506WordPress WP-Chatbot插件在4.9及以下版本中存在授权绕过漏洞。由于插件未对关键操作进行有效的权限验证,未经身份验证的远程攻击者可利用此漏洞修改网站后台的MobileMonkey API令牌及公司ID配置。成功利用后,攻击者能够劫持聊天机器人服务,将所有访客的对话重定向至由攻击者控制的账户,进而导致敏感信息泄露或业务被干扰。该漏洞利用无需用户交互,对受影响网站构成中等风险。
该漏洞的根源在于WP-Chatbot插件的后端管理代码中存在严重的权限校验疏漏。在所有4.9及以下的版本中,涉及MobileMonkey API令牌和公司ID更新的关键函数(位于`admin/class-htcc-admin.php`及相关文件)未实施WordPress标准的权限检查机制(如`current_user_can()`)。这意味着,当服务器接收到更新配置的请求时,直接信任了请求参数中的数据,并将其持久化存储到数据库的`wp_options`表中,而忽略了请求发起者的身份验证状态。攻击者利用这一缺陷,无需登录管理后台,只需向目标站点发送特制的HTTP POST请求,即可将原有的合法API凭证替换为攻击者控制下的恶意凭证。利用成功后,网站前端集成的聊天机器人将连接到攻击者指定的MobileMonkey账户,导致所有用户与网站的对话内容被攻击者截获,且攻击者可伪装成官方机器人进行回复,严重破坏了系统的完整性和机密性。