TrustBrain

WordPressでチャットボットによる問い合わせ対応や見込み客獲得の機能を提供するプラグイン「WPBot – AI ChatBot for Live Support, Lead Generation, AI Services」において、セキュリティ上の問題が確認されました。影響を受けるのは、バージョン 8.4.9 までのすべてのバージョンです。

本脆弱性を悪用された場合、サイトを訪れた第三者が送信したチャットの内容を通じて、管理画面を閲覧した管理者のブラウザ上で不正なプログラムが実行される可能性があります。

対策として、バージョン 8.5.0 以降への更新を推奨します。

本脆弱性は、チャットボットに送信された会話内容を保存し、管理画面に表示する処理において、内容の安全性を十分に確認できていない状態にあったことに起因します。
その結果、攻撃者がプログラムを含むメッセージを送信すると、その内容が無害化されないまま保存され、管理者がチャット履歴を開いた際に実行されてしまう状況となっていました。

この脆弱性が悪用された場合、次のような被害のおそれがあります。

管理者に対する攻撃(蓄積型XSS)

  • 攻撃者がチャットで送信したプログラムがサイト内に保存され、管理者が履歴を開いた際にそのブラウザ上で動作する
  • 管理者のログイン情報が読み取られる、あるいは管理者になりすました操作につながる

被害発生の条件

  • 攻撃者が、チャットボット経由でプログラムを含むメッセージを送信する
  • 管理者が、管理画面のチャット履歴を閲覧する

チャットボットはサイトを訪れた誰もが利用できる機能であるため、ログインしていない第三者でも攻撃メッセージを送信できる状態でした。管理者側は、通常どおり履歴を確認する操作を行うだけで影響を受ける可能性があります。

チャットボットでは、送信された会話内容を保存する際に一度だけ文字の変換処理(無害化のためのエンコード)を行っていました。しかし、その会話内容を管理画面に表示する段階で、保存時に行った無害化を打ち消す処理が行われていたため、プログラムが実行可能な状態のまま画面に出力されていました。

本来は、表示する内容から危険なタグやコードを取り除いたうえで出力する必要がありましたが、その処理が実装されていませんでした。
対策版では、保存時と表示時の双方で、許可したタグ以外を取り除く処理が追加されています。

該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します。

  1. プラグインの更新
    • 速やかに、プラグインを対策バージョン(8.5.0 以降)へ更新してください。
  2. 被害の確認
    • 更新の適用後、管理画面のチャットセッション一覧(Bot Sessions/Chat Sessions)を開き、
      会話内容に不審なメッセージが含まれていないか確認してください。
    • 具体的には、通常のやりとりに紛れて <script> などのタグや、onerror= のような不自然な記述を含むメッセージがないかをご確認ください。
    • ※更新前に履歴を閲覧すると、その時点で不正なプログラムが実行されるおそれがあります。必ず更新を済ませてから確認してください。
  3. セキュリティ対策の強化(任意)
    • WAF(Web Application Firewall/不正な通信を遮断する仕組み)の導入は、更新を適用するまでの間、攻撃メッセージの送信を遮断する対策として有効です。

⇒不審なメッセージや、管理者が作成した覚えのないアカウントなどが確認された場合は、WordPressの専門家への相談を推奨します。

WPBot – AI ChatBot for Live Support, Lead Generation, AI Services 8.4.9 までのバージョン

CVE-2026-13731
(公開日 2026年7月1日 更新日 2026年7月1日)

基本値: 7.2 (重要)   [Wordfence]

ソフトウェア脆弱性情報の著作権に関する注意事項

This record contains material that is subject to copyright.

Copyright 2012-2026 Defiant Inc.

License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.

Copyright 1999-2026 The MITRE Corporation

License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.

「Support」、「Technical」、「Customer」、「Service」の文字 と 技術的なWordPress顧客サポート

WordPress運用保守

さらに詳しく

WPBot プラグインをご利用中のお客様には、対策バージョンへの更新状況および推奨対応事項について、順次メールにてご案内しております。

WordPress プラグイン WPBot – AI ChatBot for Live Support, Lead Generation, AI Services 情報 (2026年7月1日 取得)

最新版 バージョン 8.5.0
対象 WordPress バージョン 4.6 またはそれ以降
検証済み最新バージョン : 7.0
有効インストール数 5,000+
関連 ページ プラグインページホームページ