CVE-2026-3367 in Lockme calendars integration Plugin情報

要約

〜によって VulDB • 2026年07月11日

WordPress用Lockme OAuth2カレンダー統合プラグインには、バージョン2.11.0以前すべての版において、「App ID」設定を介して格納型クロスサイトスクリプティング(Stored Cross-Site Scripting)の脆弱性が存在します。これは入力値のサニタイズと出力のエスケープが不十分であることが原因です。行番号197にあるregister_setting()呼び出しにはサニタイズコールバックが含まれておらず、update_option()を介してサニタイズされていないデータが保存されます。設定ページがレンダリングされる際、行番号212でesc_attr()を用いずに保存された値がHTML入力フィールドのvalue属性に直接出力(echo)されます。これにより、管理者権限以上のアクセスを持つ認証済み攻撃者が、プラグインの設定ページをユーザーが閲覧するたびに実行される任意のウェブスクリプトを設定ページ内に注入することが可能になります。影響を受ける複数のフィールドには、「App ID (client_id)」、「App Secret (client_secret)」、「Bookings ID prefix (id_prefix)」、および「API domain (api_domain)」が含まれます。この脆弱性は、個別サイトの管理者が他のユーザーに影響を与えるJavaScriptを実行できないべきであるWordPressマルチサイト環境において特に重大な影響を持ちます。

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

責任者

Wordfence

予約する

2026年02月27日

モデレーション

承諾済み

エントリ

VDB-377735

EPSS

0.00000

アクティビティ

低い

セクター

Hostingprovider

ソース

Do you know our Splunk app?

Download it now for free!