何が起きたか
CVE-2026-12729 (CVSS 4.3 Medium、2026-07-03 公開) はバージョン 2.3.0 までの weDocs WordPress プラグインに影響します。wedocs_migrate_betterdocs_to_wedocs AJAX アクションとして登録された do_migration() 関数に capability チェックがないため、任意の認証された WordPress ユーザー (Subscriber レベルを含む) がデータマイグレーション操作をトリガーできます。
なぜ重要か
より低い重大度ですが、AI チャットボットプラグインのマイグレーションエンドポイントに対する認可欠落は、低特権ユーザーが AI チャットボットにフィードするナレッジベースに対して破壊的なデータ操作をトリガーできるようにします。これは RAG/知識ソースを破損したり、コンテンツを間違ったコンテキストに公開する意図しないデータ移動をトリガーする可能性があります。
攻撃経路
任意の認証された WordPress ユーザーが wedocs_migrate_betterdocs_to_wedocs AJAX アクションを呼び出します。サーバーはユーザー特権を検証せずにマイグレーションを実行します。
影響を受けるシステム
weDocs WordPress プラグイン ≤ 2.3.0
緩和策
weDocs プラグインをバージョン 2.3.0 より先にアップデートしてください。リファレンス: https://nvd.nist.gov/vuln/detail/CVE-2026-12729