CVE-2026-6393

Nome do Software Vulnerável e Versões Afetadas BetterDocs versões anteriores a 4.3.12

Descrição O plugin contém uma falha de autorização ausente causada pela falta de verificações de capacidade na função generate openai content callback(). A função depende exclusivamente de um nonce sem verificar as permissões do usuário. Isso permite que atacantes autenticados com acesso de nível de assinante ou superior disparem chamadas de API da OpenAI usando a chave de API configurada no site e prompts arbitrários, resultando no consumo não autorizado da cota de API de IA paga do proprietário do site.

Recomendações Atualize para uma versão posterior a 4.3.11. Como medida paliativa temporária, restrinja o acesso à função generate openai content callback() para minimizar o risco de exploração.