Vulnerabilidad en plugin WP-Chatbot for Messenger para WordPress (CVE-2026-3506)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
21/03/2026
Última modificación:
23/03/2026
Descripción
El plugin WP-Chatbot para Messenger para WordPress es vulnerable a una omisión de autorización en todas las versiones hasta la 4.9, inclusive. Esto se debe a que el plugin no verifica correctamente que un usuario está autorizado para realizar una acción. Esto hace posible que atacantes no autenticados sobrescriban el token de la API de MobileMonkey del sitio y las opciones de ID de empresa, lo que puede usarse para secuestrar la configuración del chatbot y redirigir las conversaciones de los visitantes a una cuenta de MobileMonkey controlada por un atacante.
Impacto
Puntuación base 3.x
5.30
Gravedad 3.x
MEDIA
Referencias a soluciones, herramientas e información
- https://plugins.trac.wordpress.org/browser/wp-chatbot/tags/4.9/admin/admin.php#L29
- https://plugins.trac.wordpress.org/browser/wp-chatbot/tags/4.9/admin/class-htcc-admin.php#L29
- https://plugins.trac.wordpress.org/browser/wp-chatbot/tags/4.9/inc/MobileMonkeyApi.php#L37
- https://plugins.trac.wordpress.org/browser/wp-chatbot/tags/4.9/inc/MobileMonkeyApi.php#L409
- https://plugins.trac.wordpress.org/browser/wp-chatbot/tags/4.9/inc/MobileMonkeyApi.php#L52
- https://plugins.trac.wordpress.org/browser/wp-chatbot/tags/4.9/inc/class-ht-cc.php#L178
- https://plugins.trac.wordpress.org/browser/wp-chatbot/trunk/inc/MobileMonkeyApi.php#L37
- https://www.wordfence.com/threat-intel/vulnerabilities/id/32cce973-bc3b-45f1-ad4d-ff395d3a6c8e?source=cve