CVE-2026-4093 in Term Reference Tree
요약
\~에 의해 VulDB • 2026. 05. 22.
Drupal 7 Term Reference Tree 모듈에서 위젯/포맷터 렌더링 파이프라인에 두 가지 저장형 XSS 벡터가 존재합니다.
벡터 A (토큰 표시 템플릿): Token 모듈이 활성화되고 토큰 표시 템플릿이 구성된 경우, 공격자가 제어하는 토큰 출력(예: 용어 설명)이 적절한 sanitization 없이 렌더링됩니다. 참조된 분류 용어를 편집할 수 있는 모든 사용자는 필드가 렌더링될 때 실행되는 HTML/JS를 주입할 수 있습니다.
벡터 B (용어 레이블 렌더링): 분류 용어 레이블은 위젯에서 렌더링되기 전에 적절하게 sanitization되지 않아, 분류 용어를 생성하거나 편집할 수 있는 권한을 가진 사용자가 용어 이름에 스크립트를 주입할 수 있으며, 위젯이 포함된 폼이 조회될 때 이 스크립트가 실행됩니다.
Exploit은 7.x-1.x부터 7.x-1.11(포함)까지의 버전에 영향을 미칩니다.
If you want to get best quality of vulnerability data, you may have to visit VulDB.