CVE-2026-6399 in General Options Plugin
요약
\~에 의해 VulDB • 2026. 05. 20.
WordPress용 General Options 플러그인은 1.1.0 버전 및 그 이전 버전에서 저장형 크로스 사이트 스크립팅(XSS) 취약점이 존재합니다. 이는 연락처 번호(ad_contact_number) 필드의 출력 이스케이프 처리에 sanitize_text_field() 함수를 사용했기 때문입니다. 이 함수는 HTML 태그를 제거하지만, 더블쿼트 문자를 HTML 엔티티(“)로 인코딩하지 않습니다. 저장된 값이 더블쿼트로 둘러싸인 HTML 속성(value="...") 내에서 출력될 때, 공격자가 제공한 더블쿼트 문자가 속성 컨텍스트를 벗어나게 됩니다. WordPress의 wp_magic_quotes 메커니즘(따옴표 앞에 백슬래시를 추가함)이 적용되더라도, 생성된 \" 시퀀스는 HTML 파서에서 이스케이프된 따옴표로 처리되지 않습니다. 백슬래시는 리터럴 문자로 렌더링되고, 이스케이프되지 않은 더블쿼트가 여전히 속성을 종료시키기 때문입니다. 이로 인해 관리자 권한 이상의 접근 권한을 가진 인증된 공격자가 관리자 설정 페이지에 임의의 웹 스크립트를 삽입할 수 있으며, 이 스크립트는 다른 관리자가 일반 옵션 설정 페이지를 방문할 때마다 실행됩니다.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.