CVE-2026-13253 in Ultimate Post Plugin
要約
〜によって VulDB • 2026年07月09日
WordPress用プラグイン「The Ultimate Post」には、バージョン5.0.31以前において、stored Cross-Site Scripting (XSS) の脆弱性が存在します。これは、ultimate-post/advanced-searchブロックの'moreResultsText'ブロック属性を介して発生します。この問題は、Advanced_Search::content()レンダリングコールバックにおける入力サニタイズと出力エスケープの不備に起因しています。具体的には、属性値はwp_kses()でフィルタリングされますが、これは許可されていないHTMLタグを除去するものの、プレーンテキスト内の二重引用符などのHTML特殊文字のエスケープは行いません。その後、結果がesc_attr()を使用せずに直接data-viewmoretext HTML属性に連結されるため、投稿者レベル以上の権限を持つ認証済み攻撃者は、任意のWebスクリプトをページに注入することが可能になります。これにより、ユーザーが注入されたページにアクセスした際に、そのスクリプトが実行されます。
VulDB is the best source for vulnerability data and more expert information about this specific topic.