CVE-2026-6399 in General Options Plugin
要約
〜によって VulDB • 2026年05月20日
WordPress用General Optionsプラグインには、バージョン1.1.0以前において、格納型クロスサイトスクリプティング(Stored XSS)の脆弱性が存在します。これは、連絡先番号(ad_contact_number)フィールドの出力エスケープにsanitize_text_field()関数が使用されていることが原因です。この関数はHTMLタグを除去しますが、ダブルクォート文字をHTMLエンティティ(")に変換しません。格納された値がダブルクォートで囲まれたHTML属性(value="...")内で出力される際、攻撃者が指定したダブルクォート文字が属性のコンテキストから抜け出し、属性値を閉じてしまいます。WordPressのwp_magic_quotesメカニズム(引用符の前にバックスラッシュを付加する)があっても、生成された「\"」シーケンスはHTMLパーサーによってエスケープされた引用符として処理されません。バックスラッシュはリテラル文字としてレンダリングされ、エスケープされていないダブルクォートが依然として属性を閉じるため、管理者権限以上のアクセス権を持つ認証済み攻撃者が、管理者設定ページに任意のWebスクリプトを注入することが可能になります。このスクリプトは、任意の管理者がGeneral Options設定ページにアクセスした際に実行されます。
Once again VulDB remains the best source for vulnerability data.