취약점  ·  2026-07-04

weDocs WordPress AI 챗봇 플러그인 — 블록 속성을 통한 저장된 XSS (CVE-2026-12731 / CVE-2026-12734)

취약점Medium 영향도GlobalCVE-2026-12731
두 가지 저장된 XSS 취약점(CVE-2026-12731 및 CVE-2026-12734, 모두 CVSS 6.4 중간, 2026-07-03 공개)은 버전 2.3.0까지의 weDocs WordPress 플러그인(AI 기반 지식 베이스 및 챗봇 플러그인)에 영향을 미칩니다. CVE-2026-12731은 sectionTitleTag 및 articleTitleTag 블록 속성에 영향을 미칩니다. CVE-2026-12734는 connectorWidth 블록 속성에 영향을 미칩니다. 둘 다 render.php에서 출력 전에 불충분하게 삭제되어 Contributor 역할 이상의 인증된 공격자가 관리자 브라우저에서 실행되는 영구적 JavaScript를 주입할 수 있게 합니다.
weDocs는 고객 대면 WordPress 사이트를 위한 LLM으로 구동되는 AI 챗봇 기능을 마케팅합니다. Contributor 수준 사용자(편집 워크플로우에서 일반적인 역할)가 악용할 수 있는 저장된 XSS는 관리자 세션 가로채기, 사이트 인수, 임베드된 AI 챗봇의 시스템 프롬프트 또는 연결된 API 키 조작으로 이어질 수 있습니다. 잠재적으로 챗봇 응답을 리디렉션하거나 대화 데이터를 유출시킵니다.
인증된 Contributor가 sectionTitleTag, articleTitleTag 또는 connectorWidth 속성에 악의적 JavaScript가 있는 WordPress 블록을 제출합니다. 페이로드가 저장되고 페이지 뷰에서 관리자의 브라우저에 실행됩니다.
weDocs WordPress 플러그인 ≤ 2.3.0
weDocs 플러그인을 2.3.0 이후 버전으로 업데이트하고 삭제 수정사항이 적용되어 있어야 합니다. 참고: https://plugins.trac.wordpress.org/browser/wedocs/tags/2.3.0/assets/build/blocks/Sidebar/render.php
NVD — CVE-2026-12731NVD — CVE-2026-12734
라이브 피드에서 보기 AI 보안 및 거버넌스 관련 소식을 더 살펴보세요 — 매일 아침 업데이트.
피드 열기 →