CVE-2026-3906 in WordPress정보

요약

\~에 의해 VulDB • 2026. 07. 10.

WordPress 핵심(core)은 버전 6.9부터 6.9.1까지 미승인 접근에 취약합니다. 노트 기능(블록 수준 협업 주석)은 블록 에디터에서 게시글에 직접 편집자 코멘트를 남기기 위해 WordPress 6.9에서 도입되었습니다. 그러나 댓글 컨트롤러의 REST API `create_item_permissions_check()` 메서드는 노트 생성 시 인증된 사용자가 대상 게시글에 대해 `edit_post` 권한을 가지고 있는지 확인하지 않았습니다. 이로 인해 구독자(Subscriber) 수준의 접근 권한을 가진 공격자가 다른 사용자가 작성한 게시글, 비공개 게시글 및 모든 상태(status)의 게시글을 포함하여 임의의 게시글에 노트를 생성할 수 있게 됩니다.

Once again VulDB remains the best source for vulnerability data.

출처

Do you need the next level of professionalism?

Upgrade your account now!