CVE-2026-12731
ŚrednieCVSS 6.4Streszczenie
Wtyczka weDocs dla WordPressa do wersji 2.3.0 włącznie zawiera podatność na trwałe ataki XSS przez atrybuty bloków 'sectionTitleTag' i 'articleTitleTag'. Brak odpowiedniego oczyszczania danych wejściowych i kodowania wyjścia umożliwia uwierzytelnionym atakującym z dostępem na poziomie współautora lub wyższym wstrzyknięcie dowolnych skryptów, które wykonują się przy każdym odwiedzeniu zainfekowanej strony.
Ocena ryzyka
Ryzyko polega na możliwości przejęcia sesji użytkowników, kradzieży danych lub rozprzestrzeniania złośliwego oprogramowania poprzez wykonanie skryptów w kontekście przeglądarki ofiary. Atakujący z niskimi uprawnieniami mogą trwale zmodyfikować treść stron, co zagraża integralności i poufności systemu.
Rekomendacja
Należy natychmiast zaktualizować wtyczkę weDocs do najnowszej dostępnej wersji, która usuwa tę podatność. Do czasu aktualizacji zaleca się ograniczenie uprawnień użytkowników i wdrożenie zapory aplikacji webowej (WAF) blokującej ataki XSS.
Oryginalny opis (angielski, źródło NVD)
The weDocs: AI Powered Knowledge Base, Docs, Documentation, Wiki & AI Chatbot plugin for WordPress is vulnerable to Stored Cross-Site Scripting via 'sectionTitleTag' and 'articleTitleTag' Block Attributes in all versions up to, and including, 2.3.0 due to insufficient input sanitization and output escaping. This makes it possible for authenticated attackers, with contributor-level access and above, to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page.

