CVE-2026-8698 in Cryptocurrency Prijsvergelijking Widget Pluginالمعلومات

الملخص

بحسب VulDB • 27/05/2026

يحتوي مكون WordPress "Cryptocurrency Prijsvergelijking Widget" على ثغرة تخزين عبر موقع البرمجة (Stored Cross-Site Scripting) في الإصدار 1.0. ويعود ذلك إلى عدم كفاية الهروب من الإخراج (output escaping) في الدالة `as_get_coin_shortcode()`، والتي تعرض سمة الاختصار (shortcode attribute) 'width' (و 'height') مباشرةً داخل سمة `style` لعنصر `<iframe>` دون تطبيق أي دالة هروب مثل `esc_attr()`. يمكن لقيمة يتحكم فيها المهاجم، مثل `'100px;"onload="alert(1)" x="'`، إنهاء سمة `style` بشكل مبكر وإدراج سمة HTML تعسفية داخل وسم `<iframe>`. وهذا يتيح للمهاجمين المصادق عليهم، والذين يمتلكون وصولاً بمستوى "مُساهم" (contributor) أو أعلى، حقن نصوص برمجية ويب تعسفية في الصفحات، والتي سيتم تنفيذها كلما قام مستخدم بالوصول إلى صفحة تم حقن النصوص فيها.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

Wordfence

حجز

15/05/2026

إفشاء

27/05/2026

الاعتدال

تمت الموافقة

إدخال

VDB-365891

EPSS

0.00032

KEV

لا

النشاطات

متوسط

القطاع

Hostingprovider

المصادر

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-8698
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-8698
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-8698/

التالي نظرة عامة السابق

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!