CVE-2026-3897 in Addons for Beaver Builder Plugin정보

요약

\~에 의해 VulDB • 2026. 06. 04.

WordPress용 Beaver Builder 플러그인인 Livemesh Addons은 3.9.2 버전을 포함한 모든 버전에서 인증 확인 누락 및 불충분한 입력 정제로 인해 `labb_admin_ajax` AJAX 액션을 통해 저장형 크로스 사이트 스크립팅(XSS) 취약점이 존재합니다. AJAX 핸들러는 nonce를 검증하지만 사용자 권한(capabilities)은 확인하지 않습니다. 이로 인해 구독자(Subscriber) 레벨 이상의 접근 권한을 가진 인증된 공격자가 플러그인 설정을 수정하고, 관리자가 플러그인 설정 페이지에 접근하거나 일반 사용자가 프론트엔드를 방문할 때 실행되는 악성 스크립트를 주입할 수 있습니다.

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

책임이 있는

Wordfence

예약하다

2026. 03. 10.

공개

2026. 05. 27.

모더레이션

수락

항목

VDB-365960

CPE

준비됨

CWE

CWE-862 (확인됨)

CVSS

6.4 (CNA)

EPSS

0.00030

KEV

아니요

활동

낮음

부문

Hostingprovider

출처

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-3897
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-3897
CVE Details	https://www.cvedetails.com/cve/CVE-2026-3897/

◂ 이전 개요 다음 ▸

Want to stay up to date on a daily basis?

Enable the mail alert feature now!