Kerentanan  ·  2026-07-04

weDocs WordPress AI Chatbot Plugin — Stored XSS via Block Attributes (CVE-2026-12731 / CVE-2026-12734)

KerentananMedium dampakGlobalCVE-2026-12731
Dua kerentanan stored XSS (CVE-2026-12731 dan CVE-2026-12734, keduanya CVSS 6.4 Medium, dipublikasikan 2026-07-03) memengaruhi weDocs WordPress plugin (knowledge-base AI-powered dan chatbot plugin) hingga versi 2.3.0. CVE-2026-12731 memengaruhi sectionTitleTag dan articleTitleTag block attributes; CVE-2026-12734 memengaruhi connectorWidth block attribute. Keduanya insufficiently sanitised sebelum output dalam render.php, memungkinkan Contributor-role atau higher authenticated attacker untuk menyuntikkan persistent JavaScript yang mengeksekusi dalam administrator browsers.
weDocs memasarkan fitur AI chatbot yang didukung LLMs untuk customer-facing WordPress sites. Stored XSS yang dapat dieksploitasi oleh Contributor-level users (role umum dalam editorial workflows) dapat menyebabkan administrator session hijacking, site takeover, dan manipulasi system prompts embedded AI chatbot atau connected API keys — secara potensial mengalihkan chatbot responses atau mengekfilitrasi conversation data.
Authenticated Contributor mengisubmit WordPress block dengan malicious JavaScript dalam sectionTitleTag, articleTitleTag, atau connectorWidth attributes; payload disimpan dan mengeksekusi dalam administrator's browser apa pun pada page view.
weDocs WordPress plugin ≤ 2.3.0
Update weDocs plugin ke versi beyond 2.3.0 dengan sanitisation fix yang diterapkan. Reference: https://plugins.trac.wordpress.org/browser/wedocs/tags/2.3.0/assets/build/blocks/Sidebar/render.php
NVD — CVE-2026-12731NVD — CVE-2026-12734
Lihat di umpan langsung Jelajahi temuan keamanan dan tata kelola AI terkait — diperbarui setiap pagi.
Buka umpan →