Apa yang terjadi
CVE-2026-12729 (CVSS 4.3 Medium, dipublikasikan 2026-07-03) memengaruhi weDocs WordPress plugin hingga versi 2.3.0. Fungsi do_migration(), registered sebagai wedocs_migrate_betterdocs_to_wedocs AJAX action, lacks capability check, memungkinkan setiap WordPress user yang authenticated (termasuk Subscriber-level) untuk trigger data migration operations.
Mengapa penting
Meskipun severity lebih rendah, missing authorization pada migration endpoint dalam AI chatbot plugin dapat memungkinkan low-privileged users untuk trigger disruptive data operations pada knowledge base yang memberi makan AI chatbot — secara potensial corrupting RAG/knowledge source atau triggering unintended data movement yang mengekspos content ke wrong contexts.
Vektor serangan
Setiap authenticated WordPress user memanggil wedocs_migrate_betterdocs_to_wedocs AJAX action; server melakukan migration tanpa memverifikasi user privileges.
Sistem yang terdampak
weDocs WordPress plugin ≤ 2.3.0
Mitigasi
Update weDocs plugin beyond versi 2.3.0. Reference: https://nvd.nist.gov/vuln/detail/CVE-2026-12729