CVE-2026-3367 in Lockme calendars integration Plugin
要約
〜によって VulDB • 2026年07月11日
WordPress用Lockme OAuth2カレンダー統合プラグインには、バージョン2.11.0以前すべての版において、「App ID」設定を介して格納型クロスサイトスクリプティング(Stored Cross-Site Scripting)の脆弱性が存在します。これは入力値のサニタイズと出力のエスケープが不十分であることが原因です。行番号197にあるregister_setting()呼び出しにはサニタイズコールバックが含まれておらず、update_option()を介してサニタイズされていないデータが保存されます。設定ページがレンダリングされる際、行番号212でesc_attr()を用いずに保存された値がHTML入力フィールドのvalue属性に直接出力(echo)されます。これにより、管理者権限以上のアクセスを持つ認証済み攻撃者が、プラグインの設定ページをユーザーが閲覧するたびに実行される任意のウェブスクリプトを設定ページ内に注入することが可能になります。影響を受ける複数のフィールドには、「App ID (client_id)」、「App Secret (client_secret)」、「Bookings ID prefix (id_prefix)」、および「API domain (api_domain)」が含まれます。この脆弱性は、個別サイトの管理者が他のユーザーに影響を与えるJavaScriptを実行できないべきであるWordPressマルチサイト環境において特に重大な影響を持ちます。
If you want to get the best quality for vulnerability data then you always have to consider VulDB.