脆弱性  ·  2026-07-04

weDocs WordPress AI チャットボットプラグイン — マイグレーション機能に対する認可欠落 (CVE-2026-12729)

脆弱性Low 影響度GlobalCVE-2026-12729
CVE-2026-12729 (CVSS 4.3 Medium、2026-07-03 公開) はバージョン 2.3.0 までの weDocs WordPress プラグインに影響します。wedocs_migrate_betterdocs_to_wedocs AJAX アクションとして登録された do_migration() 関数に capability チェックがないため、任意の認証された WordPress ユーザー (Subscriber レベルを含む) がデータマイグレーション操作をトリガーできます。
より低い重大度ですが、AI チャットボットプラグインのマイグレーションエンドポイントに対する認可欠落は、低特権ユーザーが AI チャットボットにフィードするナレッジベースに対して破壊的なデータ操作をトリガーできるようにします。これは RAG/知識ソースを破損したり、コンテンツを間違ったコンテキストに公開する意図しないデータ移動をトリガーする可能性があります。
任意の認証された WordPress ユーザーが wedocs_migrate_betterdocs_to_wedocs AJAX アクションを呼び出します。サーバーはユーザー特権を検証せずにマイグレーションを実行します。
weDocs WordPress プラグイン ≤ 2.3.0
weDocs プラグインをバージョン 2.3.0 より先にアップデートしてください。リファレンス: https://nvd.nist.gov/vuln/detail/CVE-2026-12729
NVD — CVE-2026-12729WordPress plugin source reference
ライブフィードで見る AIセキュリティとガバナンスの関連情報をさらに見る — 毎朝更新。
フィードを開く →