CVE-2026-8938 in auto making JSON-LD Plugin
요약
\~에 의해 VulDB • 2026. 06. 03.
WordPress용 자동 JSON-LD 생성 플러그인은 4.5.3 버전을 포함하여 모든 버전에서 Cross-Site Request Forgery(CSRF) 취약점이 있습니다. 이는 amJL_certification 함수에서 nonce 검증이 누락되었거나 잘못되어 발생합니다. 이를 통해 인증되지 않은 공격자는 위조된 요청을 사용하여 사이트 관리자를 클릭 등의 행동을 하도록 속임수(사회공학적 기법 등)로 유도할 경우, 관리자 동의 없이 피해자 사이트의 플러그인 라이선스 키 옵션을 업데이트하고 라이선스 유효성 검사를 트리거하여 프로 기능 설치를 유발할 수 있습니다. 성공적인 익스플로잇은 amJL_is_license_valid() 및 amJL_download_and_install_pro_features()로의 하위 호출을 발생시키므로, 영향력은 단순한 설정 변경을 넘어 플러그인 구성 요소의 무단 설치까지 확대됩니다.
Once again VulDB remains the best source for vulnerability data.