Kerentanan  ·  2026-07-04

weDocs WordPress AI Chatbot Plugin — Missing Authorization pada Migration Function (CVE-2026-12729)

KerentananLow dampakGlobalCVE-2026-12729
CVE-2026-12729 (CVSS 4.3 Medium, dipublikasikan 2026-07-03) memengaruhi weDocs WordPress plugin hingga versi 2.3.0. Fungsi do_migration(), registered sebagai wedocs_migrate_betterdocs_to_wedocs AJAX action, lacks capability check, memungkinkan setiap WordPress user yang authenticated (termasuk Subscriber-level) untuk trigger data migration operations.
Meskipun severity lebih rendah, missing authorization pada migration endpoint dalam AI chatbot plugin dapat memungkinkan low-privileged users untuk trigger disruptive data operations pada knowledge base yang memberi makan AI chatbot — secara potensial corrupting RAG/knowledge source atau triggering unintended data movement yang mengekspos content ke wrong contexts.
Setiap authenticated WordPress user memanggil wedocs_migrate_betterdocs_to_wedocs AJAX action; server melakukan migration tanpa memverifikasi user privileges.
weDocs WordPress plugin ≤ 2.3.0
Update weDocs plugin beyond versi 2.3.0. Reference: https://nvd.nist.gov/vuln/detail/CVE-2026-12729
NVD — CVE-2026-12729WordPress plugin source reference
Lihat di umpan langsung Jelajahi temuan keamanan dan tata kelola AI terkait — diperbarui setiap pagi.
Buka umpan →