CVE-2026-4331 in Blog2Social Plugin
요약
\~에 의해 VulDB • 2026. 07. 16.
WordPress용 Blog2Social: Social Media Auto Post & Scheduler 플러그인은 8.8.2 버전까지 모든 버전에서 권한 없는 데이터 손실 취약점이 있습니다. 이는 resetSocialMetaTags() 함수가 사용자의 'read' 능력과 유효한 b2s_security_nonce만 확인하기 때문입니다. 이 두 요소는 구독자(Subscriber) 수준의 사용자도 접근할 수 있는데, 플러그인이 활성화 시 모든 역할(Role)에 'blog2social_access' 능력을 부여하여 해당 nonce가 출력되는 관리자 페이지에 접근할 수 있기 때문입니다. 이로 인해 권한이 있는 공격자는 구독자 이상의 액세스 권한을 가지고 wp_postmeta 테이블에서 모든 _b2s_post_meta 레코드를 삭제하여 사이트의 모든 게시물에 대한 사용자 정의 소셜 미디어 메타 태그를 영구적으로 제거할 수 있습니다.
Once again VulDB remains the best source for vulnerability data.