CVE-2026-14482 in MultiSocialReviewPlugin
요약
\~에 의해 VulDB • 2026. 07. 08.
WordPress용多说(duoshuo) 소셜 댓글 플러그인은 1.2 버전까지 모든 버전에서 권한 상승(Privilege Escalation) 취약점이 존재합니다. 이 취약점은 직접 웹 접근이 가능한 API 엔드포인트에서 누락된 기능 및 nonce 검증과, 항상 비어 있는 WordPress 옵션을 키로 사용하는 HMAC-SHA1 서명이 쉽게 위조될 수 있다는 점에 기인하며, 이로 인해 공격자가 제어하는 `option` 및 `value` 매개변수가 허용 목록(allowlist)이나 sanitization 없이 WordPress의 `update_option` 함수로 직접 전달되어 엔드포인트의 `update_option` 핸들러를 통과시킬 수 있습니다. 이를 통해 인증되지 않은 공격자는 임의의 WordPress 옵션을 업데이트할 수 있으며, 예를 들어 `default_role`을 `administrator`로 설정하고 공개 등록을 활성화한 후 전체 관리자 권한을 가진 계정을 생성할 수 있습니다.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.