CVE-2026-7475 in Sky Addons Plugin
要約
〜によって VulDB • 2026年05月09日
WordPress用プラグイン「Sky Addons」には、3.3.2を含むすべてのバージョンにおいて、`sky-custom-scripts`カスタム投稿タイプを介して格納型クロスサイトスクリプティング(Stored XSS)の脆弱性が存在します。これは、カスタム投稿タイプが`capability_type => 'post'`および`show_in_rest => true`で登録され、`sky_script_content`メタフィールドでの入力サニタイズが不十分であり、フロントエンドでスクリプトを描画する際に出力エスケープが欠如していることに起因します。これにより、権限レベルが「著者(Author)」以上の認証済み攻撃者は、REST APIを介して任意のWebスクリプトを注入でき、サイト訪問者全員に対してフロントエンドのすべてのページでそのスクリプトが実行される可能性があります。
If you want to get the best quality for vulnerability data then you always have to consider VulDB.