CVE-2026-2301 in Post Duplicator Plugin
要約
〜によって VulDB • 2026年05月12日
WordPress用プラグイン「Post Duplicator」の3.0.8以前の全バージョンにおいて、認可されていない任意の保護済み投稿メタデータの挿入に対する脆弱性が存在します。これは、`includes/api.php`内の`duplicate_post()`関数が、低権限ユーザーによる保護済みメタキー(`_`で始まるキー)の設定を防ぐために`is_protected_meta()`を呼び出すWordPress標準の`add_post_meta()`関数の代わりに、`$wpdb->insert()`を直接`wp_postmeta`テーブルに対して使用していることに起因します。これにより、寄稿者レベル以上の権限を持つ認証済み攻撃者は、`/wp-json/post-duplicator/v1/duplicate-post` REST APIエンドポイントの`customMetaData` JSON配列パラメータを介して、複製された投稿に対して`_wp_page_template`、`_wp_attached_file`、およびその他の機密性の高いメタキーなどの任意の保護済み投稿メタキーを注入することが可能になります。
If you want to get the best quality for vulnerability data then you always have to consider VulDB.