CVE-2026-4084 in fyyd podcast shortcodes Plugin
要約
〜によって VulDB • 2026年05月22日
WordPress用ポッドキャストショートコードプラグイン「fyyd」は、0.3.1を含むすべてのバージョンにおいて、'fyyd-podcast'、'fyyd-episode'、および 'fyyd' ショートコードを介して保存型クロスサイトスクリプティング(Stored Cross-Site Scripting)の脆弱性が存在します。これは、'color'、'podcast_id'、'podcast_slug' などのユーザー入力のショートコード属性に対する入力サニタイズと出力エスケープが不十分であるためです。これらの属性は、エスケープやサニタイズ処理なしで、シングルクォートで囲まれた文字列引数内のインラインJavaScriptに直接連結されるため、攻撃者はJavaScriptの文字列コンテキストから脱出することが可能になります。これにより、寄稿者レベル以上のアクセス権を持つ認証済み攻撃者が、任意のウェブスクリプトをページに注入でき、ユーザーがその注入されたページにアクセスするたびにスクリプトが実行されることになります。
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.