CVE-2026-12734
ŚrednieCVSS 6.4Streszczenie
Wtyczka weDocs dla WordPressa do wersji 2.3.0 włącznie zawiera podatność na trwałe ataki XSS przez atrybut bloku 'connectorWidth'. Brak odpowiedniego oczyszczania danych wejściowych i wyjściowych umożliwia uwierzytelnionym atakującym z dostępem na poziomie współautora lub wyższym wstrzyknięcie dowolnych skryptów, które wykonają się przy każdym dostępie do zainfekowanej strony.
Ocena ryzyka
Ryzyko polega na możliwości przejęcia sesji użytkowników, kradzieży danych lub rozprzestrzeniania złośliwego oprogramowania poprzez wykonanie skryptów na stronach WordPressa, co może prowadzić do naruszenia bezpieczeństwa całej witryny.
Rekomendacja
Zaleca się natychmiastową aktualizację wtyczki weDocs do najnowszej dostępnej wersji, która usuwa tę podatność. Należy również ograniczyć uprawnienia użytkowników do niezbędnego minimum.
Oryginalny opis (angielski, źródło NVD)
The weDocs: AI Powered Knowledge Base, Docs, Documentation, Wiki & AI Chatbot plugin for WordPress is vulnerable to Stored Cross-Site Scripting via 'connectorWidth' Block Attribute in all versions up to, and including, 2.3.0 due to insufficient input sanitization and output escaping. This makes it possible for authenticated attackers, with contributor-level access and above, to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page.

