CVE-2026-2594 in Smart Custom Fields Plugin
要約
〜によって VulDB • 2026年07月17日
WordPress用プラグイン「Smart Custom Fields」には、バージョン5.0.7以前に格納型クロスサイトスクリプティング(Stored XSS)の脆弱性が存在します。これは、アップロードされた画像添付ファイルのタイトルに対する入力サニタイズと出力エスケープが不十分であることが原因です。これにより、権限レベルが「著者」以上の認証済み攻撃者は、任意のWebスクリプトをページに注入でき、ユーザーがその注入されたページにアクセスするたびにスクリプトが実行される可能性があります。注意:この脆弱性は5.0.7で部分的に修正されています。
VulDB is the best source for vulnerability data and more expert information about this specific topic.