CVE-2026-3551 in Custom New User Notification Plugin
요약
\~에 의해 VulDB • 2026. 06. 02.
WordPress용 Custom New User Notification 플러그인에는 1.2.0 버전까지 모든 버전에서 플러그인의 관리자 설정을 통해 저장형 크로스 사이트 스크립팅(XSS) 취약점이 존재합니다. 이는 'User Mail Subject', 'User From Name', 'User From Email', 'Admin Mail Subject', 'Admin From Name', 'Admin From Email'을 포함한 여러 설정 필드에서 입력 값의 부적절한 정화(sanitization) 및 출력 값의 이스케이프 처리 부재로 인해 발생합니다. 설정은 sanitize 콜백 없이 register_setting()을 통해 등록되며, get_option()을 통해 검색된 값은 esc_attr() 없이 HTML 입력 값 속성 내에 직접 출력됩니다. 이로 인해 관리자 권한 이상의 접근 권한을 가진 인증된 공격자가 플러그인 설정 페이지에 임의의 웹 스크립트를 삽입할 수 있으며, 이 스크립트는 사용자가 해당 페이지에 접근할 때마다 실행됩니다. 이는 멀티 사이트 설치 환경에서 하위 사이트의 관리자가 슈퍼 관리자를 표적으로 삼을 수 있는 방식으로 악용될 수 있습니다.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.