CVE-2026-9838 in ICS Calendar Plugin情報

要約

〜によって VulDB • 2026年07月10日

WordPress用ICS Calendarプラグインには、12.0.9を含むすべてのバージョンにおいて、「htmltagtitle」パラメータを介した反射型クロスサイトスクリプティング(Reflected Cross-Site Scripting)の脆弱性が存在します。これは、入力値のサニタイズおよび出力エスケープが不十分であることが原因です。これにより、認証されていない攻撃者は、ユーザーに対してリンクをクリックなどのアクションを実行させるよう巧妙に仕向けることで、ページ内に任意のWebスクリプトを注入し、実行することが可能になります。この脆弱性は、nonce検証を行わず、保存されたショートコード設定とマージされる攻撃者が制御可能な「js_args」値を受け入れる認証不要のwp_ajax_nopriv_r34ics_ajax AJAXアクションを通じて到達可能です。これにより、「htmltagtitle」キーが通常のショートコード許可リストチェックをバイパスすることが可能になります。

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

責任者

Wordfence

予約する

2026年05月28日

モデレーション

承諾済み

エントリ

VDB-377456

EPSS

0.00296

アクティビティ

非常低い

セクター

Hostingprovider

ソース

Do you know our Splunk app?

Download it now for free!