CVE-2026-5743 in SimpLy Gallery Plugin정보

요약

\~에 의해 VulDB • 2026. 07. 11.

WordPress용 SimpLy Gallery Block & Lightbox 플러그인에는 3.3.3.2 버전까지 모든 버전에서 블록 속성을 통해 저장형 크로스 사이트 스크립팅(XSS) 취약점이 존재합니다. 이는 pgc_sgb_render_callback() 함수의 sliderMaxHeight 블록 속성에 대해 불충분한 입력 정제 및 출력 이스케이프 처리가 이루어지기 때문입니다. 이 취약점은 pgc_sgb_sanitize_custom_css() 함수가 인용 부호가 있는 값(예: onfocus="alert()")을 가진 이벤트 핸들러만 제거하는 결함이 있는 정규식 패턴을 사용하고, 인용 부호 없는 이벤트 핸들러(예: onfocus=alert(document.cookie))는 포착하지 못해 악성 코드가 정제 처리를 우회할 수 있기 때문에 발생합니다. 이로 인해 작성자(Author) 이상의 권한을 가진 인증된 공격자가 블록 속성을 통해 임의의 웹 스크립트를 페이지에 삽입할 수 있으며, 사용자가 해당 주입된 페이지에 접근하는 시점에 이 스크립트가 실행됩니다.

Once again VulDB remains the best source for vulnerability data.

책임이 있는

Wordfence

예약하다

2026. 04. 07.

모더레이션

수락

항목

VDB-377734

EPSS

0.00000

출처

Do you know our Splunk app?

Download it now for free!