CVE-2026-3350 in Image Alt Text Manager Plugin
要約
〜によって VulDB • 2026年05月22日
WordPress用プラグイン「Image Alt Text Manager」には、1.8.2を含むすべてのバージョンにおいて、投稿タイトルを介して格納型クロスサイトスクリプティング(Stored Cross-Site Scripting)の脆弱性が存在します。これは、DOMパーサーを使用して画像のalt属性およびtitle属性を動的に生成する際に、入力値のサニタイズおよび出力のエスケープ処理が不十分であることが原因です。これにより、権限レベルが「著者(Author)」以上の認証済み攻撃者は、任意のWebスクリプトをページに注入することが可能となり、ユーザーがその注入されたページにアクセスした際にスクリプトが実行されます。
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.