목록CVE/Wordpress (1)
R4mbb
WordPress Plugin [Meow-Gallery]
WordPress에 존재하는 Plugin 중 Meow-Gallery 라는 플러그인에서 XSS 취약점을 발견했다.발견한 취약점은 CNA인 PatchStack에 리포트를 제출 했고, 현재 결과를 기다리는 중이다. 아래는 해당 플러그인에서 취약점이 발생하는 과정이다. 먼저, 해당 플러그인은 설정에 따라 갤러리 부분과 포스트를 작성할 때 사진 등에 관여하는 플러그인이다. 해당 플러그인의 Captions를 Always 혹은 on hover 로 변경해주면 포스트에 사진을 넣을 때 작성한 캡션이 프론트에 노출이 된다. 여기서 취약점이 발생했다. 샘플 이미지를 갤러리에 업로드하고 Caption 부분에 XSS 스크립트를 작성해주면 해당 사진이 로드되는 페이지는 모두 영향을 받게된다. 필터링이 몇가지 있었지만 우회 가능..
CVE/Wordpress
2025. 3. 31. 01:29