CVE-2026-4373 in JetFormBuilder Plugin
요약
\~에 의해 VulDB • 2026. 05. 25.
WordPress용 JetFormBuilder 플러그인은 3.5.6.2 버전을 포함하여 모든 버전에서 경로 순회(path traversal)를 통해 임의 파일 읽기 취약점이 존재합니다. 이는 'Uploaded_File::set_from_array' 메서드가 미디어 필드 프리셋 JSON 페이로드에서 사용자 제공 파일 경로를 받아들이되, 해당 경로가 WordPress 업로드 디렉토리에 속하는지 검증하지 않기 때문에 발생합니다. 또한 'File_Tools::is_same_file'의 동일한 파일 검사 기능이 파일명(basename)만 비교하는 불충분한 검사를 수행하므로, 미디어 필드와 파일 첨부 기능이 있는 이메일 보내기 액션으로 구성된 폼에 대해 조작된 폼 요청을 제출함으로써 인증되지 않은 공격자가 임의의 로컬 파일을 이메일 첨부 파일로 유출할 수 있습니다.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.