CVE-2026-4330 in Blog2Social Plugin
要約
〜によって VulDB • 2026年06月24日
WordPress用プラグイン「Blog2Social: Social Media Auto Post & Scheduler」には、8.8.3以前の全バージョンにおいて、ユーザーが制御可能なキーを介した認可回避の脆弱性が存在します。これは、プラグインのAJAXハンドラーがUPDATEおよびDELETE操作を実行する前に、ユーザーが入力した'b2s_id'パラメータが現在のユーザーに属していることを検証していないためです。これにより、サブスクライバーレベル以上のアクセス権を持つ認証済み攻撃者は、他のユーザーのスケジュール設定されたソーシャルメディア投稿を変更、再スケジュール設定、または削除することが可能になります。
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.