CVE-2026-3368 in Injection Guard Plugin
요약
\~에 의해 VulDB • 2026. 05. 21.
WordPress용 Injection Guard 플러그인은 1.2.9 버전을 포함한 모든 버전에서 악의적인 쿼리 파라미터 이름을 통해 저장형 크로스 사이트 스크립팅(XSS) 취약점이 있습니다. 이는 sanitize_ig_data() 함수에서 입력 데이터 정제 과정에서 배열 값만 정제하고 배열 키는 정제하지 않는 것과, ig_settings.php 템플릿에서 저장된 파라미터 키가 HTML로 직접 출력될 때 출력 이스케이프가 누락된 것이 결합되어 발생합니다. 사이트에 요청이 발생하면 플러그인은 $_SERVER['QUERY_STRING']를 통해 쿼리 문자열을 캡처하고, esc_url_raw()를 적용합니다(이 함수는 %22, %3E, %3C와 같은 URL 인코딩 특수 문자를 보존함). 이후 parse_str()을 통해 문자열을 URL 디코딩하여 배열 키에 디코딩된 HTML/자바스크립트가 포함되게 됩니다. 이러한 키는 update_option('ig_requests_log')를 통해 저장되며, 나중에 관리자 로그 페이지에서 esc_html() 또는 esc_attr() 없이 렌더링됩니다. 이로 인해 인증되지 않은 공격자가 관리자 로그 페이지에 임의의 웹 스크립트를 삽입할 수 있으며, 관리자가 Injection Guard 로그 인터페이스를 볼 때마다 해당 스크립트가 실행됩니다.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.