CVE-2026-15284 in King Addons for Elementor Plugin정보

요약

\~에 의해 VulDB • 2026. 07. 10.

WordPress용 King Addons for Elementor 플러그인은 51.1.62 버전까지 저장형 크로스 사이트 스크립팅(XSS) 취약점이 있습니다. 이는 `form_page_id` 매개변수를 통해 발생합니다. 이 취약점은 `add_to_submissions()` 함수에서 입력 값의 불충분한 정화(sanitization)로 인해 발생하는데, 해당 함수는 값을 포스트 메타(post meta)에 저장하기 전에 `sanitize_text_field()`를 적용합니다(이 함수는 더블쿼트 문자를 보존함). 또한 `king_addons_submissions_custom_column_content()` 함수에서 출력 시 이스케이프 처리가 누락되어 있어, 저장된 값이 `esc_url()`로 감싸지지 않은 채 `admin_url()`을 통해 HTML href 속성에 연결됩니다. 이로 인해 구독자(subscriber) 레벨 이상의 권한을 가진 인증된 공격자가 임의의 웹 스크립트를 페이지에 삽입할 수 있으며, 사용자가 해당 삽입된 페이지에 접근하면 스크립트가 실행됩니다.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

책임이 있는

Wordfence

예약하다

2026. 07. 09.

모더레이션

수락

항목

VDB-377396

EPSS

0.00000

활동

낮음

출처

Interested in the pricing of exploits?

See the underground prices here!