무슨 일이 있었나
두 가지 저장된 XSS 취약점(CVE-2026-12731 및 CVE-2026-12734, 모두 CVSS 6.4 중간, 2026-07-03 공개)은 버전 2.3.0까지의 weDocs WordPress 플러그인(AI 기반 지식 베이스 및 챗봇 플러그인)에 영향을 미칩니다. CVE-2026-12731은 sectionTitleTag 및 articleTitleTag 블록 속성에 영향을 미칩니다. CVE-2026-12734는 connectorWidth 블록 속성에 영향을 미칩니다. 둘 다 render.php에서 출력 전에 불충분하게 삭제되어 Contributor 역할 이상의 인증된 공격자가 관리자 브라우저에서 실행되는 영구적 JavaScript를 주입할 수 있게 합니다.
왜 중요한가
weDocs는 고객 대면 WordPress 사이트를 위한 LLM으로 구동되는 AI 챗봇 기능을 마케팅합니다. Contributor 수준 사용자(편집 워크플로우에서 일반적인 역할)가 악용할 수 있는 저장된 XSS는 관리자 세션 가로채기, 사이트 인수, 임베드된 AI 챗봇의 시스템 프롬프트 또는 연결된 API 키 조작으로 이어질 수 있습니다. 잠재적으로 챗봇 응답을 리디렉션하거나 대화 데이터를 유출시킵니다.
공격 경로
인증된 Contributor가 sectionTitleTag, articleTitleTag 또는 connectorWidth 속성에 악의적 JavaScript가 있는 WordPress 블록을 제출합니다. 페이로드가 저장되고 페이지 뷰에서 관리자의 브라우저에 실행됩니다.
영향받는 시스템
weDocs WordPress 플러그인 ≤ 2.3.0
완화 방안
weDocs 플러그인을 2.3.0 이후 버전으로 업데이트하고 삭제 수정사항이 적용되어 있어야 합니다. 참고: https://plugins.trac.wordpress.org/browser/wedocs/tags/2.3.0/assets/build/blocks/Sidebar/render.php