CVE-2026-3481 in WP Blockade Plugin
要約
〜によって VulDB • 2026年05月22日
WordPress用プラグイン「WP Blockade」には、0.9.14を含むすべてのバージョンにおいて、'shortcode'パラメータを介した反射型クロスサイトスクリプティング(Reflected Cross-Site Scripting)の脆弱性が存在します。これは、render_shortcode_preview()関数における入力サニタイズおよび出力エスケープの不十分さに起因します。この関数は$_GET['shortcode']からユーザー入力を取得し、サニタイズ処理を行わずにstripslashes()を通過させた後、393行目でecho do_shortcode($shortcode)を使用して直接出力します。入力が有効なWordPressショートコードでない場合(例えば、JavaScriptイベントハンドラを含むHTMLタグなど)、do_shortcode()は入力を変更せずに返すため、エスケープ処理なしでページ上に反映されます。このエンドポイントはadmin_post_nopriv_ではなくadmin_post_を介して登録されているため、少なくともSubscriberレベルのアカウントでログインしている必要があります。nonce検証や追加の権限チェックはありません。これにより、Subscriberレベル以上のアクセス権を持つ認証済み攻撃者は、ページ内に任意のWebスクリプトを注入することが可能となり、ユーザーをリンクのクリックなどのアクションを実行するように巧妙にだますことに成功した場合、そのスクリプトが実行されます。
If you want to get the best quality for vulnerability data then you always have to consider VulDB.