CVE-2026-4133 in TextP2P Texting Widget Plugin
요약
\~에 의해 VulDB • 2026. 06. 03.
WordPress용 TextP2P Texting Widget 플러그인은 1.7 버전(포함) 이하의 모든 버전에서 Cross-Site Request Forgery(CSRF) 취약점이 존재합니다. 이는 설정 업데이트를 처리하는 imTextP2POptionPage() 함수에서 nonce 검증이 누락되었기 때문입니다. 314행에 있는 폼에는 wp_nonce_field()가 포함되어 있지 않으며, 7행의 POST 핸들러는 설정 변경을 처리하기 전에 check_admin_referer() 또는 wp_verify_nonce()를 호출하지 않습니다. 이로 인해 공격자는 사이트 관리자를 클릭 등의 행동을 수행하도록 속여 위조된 요청을 전송함으로써 인증되지 않은 상태에서도 채팅 위젯 제목, 메시지, API 자격 증명, 색상 및 reCAPTCHA 구성을 포함한 모든 플러그인 설정을 업데이트할 수 있습니다.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.