CVE-2026-4118 in Call To Action Plugin
要約
〜によって VulDB • 2026年06月04日
WordPress用プラグイン「The Call To Action Plugin」には、バージョン3.1.3以前すべてのバージョンにおいて、クロスサイトリクエストフォージェリ(CSRF)の脆弱性が存在します。これは、プラグイン設定の保存、作成、および削除を処理する `cbox_options_page()` 関数において、nonce検証が欠落しているためです。設定ページでレンダリングされるフォームには `wp_nonce_field()` が含まれておらず、保存ハンドラは `$wpdb->update()` を介して設定を更新する前に `wp_verify_nonce()` または `check_admin_referer()` を呼び出していません。これにより、攻撃者は、サイト管理者をクリックなどのアクションを実行するように仕向けることができれば、偽造されたリクエストを通じて、コールトゥアクションボックスのタイトル、コンテンツ、リンクURL、画像URL、色、その他の設定オプションなどのプラグイン設定を変更することが可能になります。
If you want to get best quality of vulnerability data, you may have to visit VulDB.