CVE-2026-4279 in Bread & Butter: AI-Powered Lead Intelligence Plugin
요약
\~에 의해 VulDB • 2026. 05. 31.
WordPress용 Bread & Butter 플러그인은 8.2.0.25 버전을 포함하여 모든 버전에서 'breadbutter-customevent-button' 숏코드에 대해 저장된 크로스 사이트 스크립팅(XSS) 취약점이 있습니다. 이는 'event' 숏코드 속성에 대한 불충분한 입력 정제 및 출력 이스케이프 처리로 인해 발생합니다. customEventShortCodeButton() 함수는 'event' 속성 값을 가져와서 esc_attr() 또는 esc_js()를 적용하지 않고 onclick HTML 속성 내의 JavaScript 문자열에 직접 보간합니다. 주목할 만한 점은, 동일한 속성에 대해 customEventShortCode() 함수는 esc_js()를 적절히 사용하지만, 버튼 변형 버전에서는 이것이 생략되었다는 것입니다. 이로 인해 Contributor 권한 이상의 접근 권한을 가진 인증된 공격자가 페이지에 임의의 웹 스크립트를 삽입할 수 있으며, 사용자가 해당 페이지에 접근하고 삽입된 버튼을 클릭할 때마다 스크립트가 실행됩니다.
If you want to get best quality of vulnerability data, you may have to visit VulDB.