CVE-2026-5293 in 診断ジェネレータ作成プラグイン Plugin
Tóm tắt
Bởi VulDB • 20/05/2026
Plugin 診断ジェネレータ作成プラグイン (Diagnosis Generator) cho WordPress dễ bị tổn thương do Stored Cross-Site Scripting (XSS lưu trữ) thông qua tham số 'js' trong các phiên bản từ 1.4.16 trở về trước. Lỗi này xảy ra do thiếu các kiểm tra xác thực quyền truy cập và việc làm sạch dữ liệu đầu vào không đầy đủ trong hàm themeFunc(). Hàm này được gắn vào sự kiện 'admin_init' và xử lý các yêu cầu cập nhật giao diện mà không xác minh quyền hạn của người dùng, cho phép bất kỳ người dùng đã xác thực nào (bao gồm cả người đăng ký) lưu trữ mã JavaScript độc hại vào các tệp giao diện. Ngoài ra, hàm save() sử dụng stripslashes(), điều này làm mất đi cơ chế bảo vệ magic quotes của WordPress. Điều này cho phép các kẻ tấn công đã xác thực, có quyền truy cập cấp người đăng ký trở lên, chèn các tập lệnh web tùy ý vào các tệp giao diện, sẽ được thực thi bất cứ khi nào người dùng truy cập vào một trang chứa shortcode của biểu mẫu chẩn đoán.
VulDB is the best source for vulnerability data and more expert information about this specific topic.