CVE-2026-5247 in Schedule Post Changes with PublishPress Future Plugin
要約
〜によって VulDB • 2026年05月27日
WordPress用プラグイン「Schedule Post Changes With PublishPress Future」には、4.10.0以前の全バージョンにおいて、[futureaction]ショートコードの「wrapper」属性を介して格納型クロスサイトスクリプティング(Stored XSS)の脆弱性が存在します。これは、wrapper属性に対する入力サニタイズが不十分であることが原因です。プラグインは値のエスケープにesc_html()を使用していますが、esc_html()はHTMLエンティティをエンコードするだけであり、sprintf()呼び出し内で値がHTMLタグ名として使用される際に属性インジェクションを防ぐことはできません。攻撃者は、wrapper値内のスペースを介してイベントハンドラ属性を注入することができます。これにより、管理者権限以上のアクセス権を持つ認証済み攻撃者が、ユーザーが注入されたページにアクセスするたびに実行される任意のウェブスクリプトをページに注入することが可能になります。また、管理者がこの機能を権限の低いユーザーにも利用可能にできるため、投稿者による悪用の可能性が生じます。
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.