漏洞  ·  2026-07-04

weDocs WordPress AI 聊天机器人插件——迁移函数缺少授权 (CVE-2026-12729)

漏洞Low 影响GlobalCVE-2026-12729
CVE-2026-12729(CVSS 4.3 中级,于 2026-07-03 发布)影响 weDocs WordPress 插件至版本 2.3.0。do_migration() 函数注册为 wedocs_migrate_betterdocs_to_wedocs AJAX 操作,缺少能力检查,允许任何已认证的 WordPress 用户(包括订阅者级别)触发数据迁移操作。
虽然严重性较低,但 AI 聊天机器人插件中迁移端点上缺少授权可允许低特权用户在向 AI 聊天机器人提供数据的知识库上触发破坏性数据操作——可能破坏 RAG/知识源或触发意外的数据移动,将内容暴露于错误的上下文中。
任何已认证的 WordPress 用户调用 wedocs_migrate_betterdocs_to_wedocs AJAX 操作;服务器在未验证用户特权的情况下执行迁移。
weDocs WordPress 插件 ≤ 2.3.0
将 weDocs 插件更新至 2.3.0 之后的版本。参考:https://nvd.nist.gov/vuln/detail/CVE-2026-12729
NVD — CVE-2026-12729WordPress plugin source reference
在实时动态中查看 浏览更多 AI 安全与治理相关发现 — 每日清晨更新。
打开动态 →