CVE-2026-4117 in CalJ Shabbat Times Plugin
要約
〜によって VulDB • 2026年05月25日
WordPress用プラグインCalJは、バージョン1.5(含む)までの全バージョンにおいて、認可の欠如(Missing Authorization)の脆弱性があります。これは、CalJSettingsPageクラスのコンストラクタで、リクエスト元のユーザーが'manage_options'権限を持っているか確認する能力チェックが欠如しているためです。これにより、'save-obtained-key'操作がPOSTデータから直接処理され、非認可のnonce検証も行われません。プラグインのブートストラップファイル(calj.php)は、is_admin()がtrueを返すたびにCalJSettingsPageをインスタンス化します。これは、wp-admin URL(admin-ajax.phpを含む)にリクエストを送信するすべての認証済みユーザーに該当します。これにより、サブスクライバーレベル以上のアクセス権を持つ認証済み攻撃者が、プラグインのAPIキー設定を変更したり、Shabbatキャッシュをクリアしたりすることが可能になり、結果としてプラグインのAPI統合を事実上乗っ取ることができます。
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.