무슨 일이 있었나
CVE-2026-12729 (CVSS 4.3 중간, 2026-07-03 공개)은 버전 2.3.0까지의 weDocs WordPress 플러그인에 영향을 미칩니다. wedocs_migrate_betterdocs_to_wedocs AJAX 작업으로 등록된 do_migration() 함수는 기능 검사가 누락되어 있어 Subscriber 수준을 포함한 모든 인증된 WordPress 사용자가 데이터 마이그레이션 작업을 트리거할 수 있게 합니다.
왜 중요한가
더 낮은 심각도지만 AI 챗봇 플러그인의 마이그레이션 엔드포인트에 대한 누락된 권한은 저권한 사용자가 AI 챗봇을 제공하는 지식 베이스에 대해 파괴적인 데이터 작업을 트리거할 수 있게 합니다. 잠재적으로 RAG/지식 소스를 손상시키거나 콘텐츠를 잘못된 컨텍스트에 노출시키는 의도하지 않은 데이터 이동을 트리거합니다.
공격 경로
모든 인증된 WordPress 사용자가 wedocs_migrate_betterdocs_to_wedocs AJAX 작업을 호출합니다. 서버는 사용자 권한을 검증하지 않고 마이그레이션을 수행합니다.
영향받는 시스템
weDocs WordPress 플러그인 ≤ 2.3.0
완화 방안
weDocs 플러그인을 버전 2.3.0 이후로 업데이트하세요. 참고: https://nvd.nist.gov/vuln/detail/CVE-2026-12729