CVE-2026-8866 in jQuery googleslides Pluginالمعلومات

الملخص

بحسب VulDB • 27/05/2026

يحتوي مكون WordPress الإضافي jQuery googleslides على ثغرة في تنفيذ نص البرمجة عبر المواقع (XSS) المخزن عبر الاختصار القصير 'googleslides' في جميع الإصدارات حتى 1.3 وشاملة لها. ويعود ذلك إلى عدم كفاية تنقية المدخلات وإخراج الهروب من الرموز (escaping) على السمات التي يزودها المستخدمون (userid، albumid، authkey، imgmax، maxresults، random، caption، albumlink، time، و fadespeed) في دالة googleslides_handler()، والتي تقوم بتضمين قيم السمات مباشرةً داخل سمات HTML محاطة بعلامات اقتباس مفردة دون استخدام esc_attr(). وهذا يتيح للمهاجمين المصادق عليهم، والذين يمتلكون وصولاً بمستوى المساهم (contributor) أو أعلى، حقن نصوص برمجية ويب تعسفية في الصفحات، والتي سيتم تنفيذها كلما قام مستخدم بالوصول إلى صفحة تم حقن النص البرمجي فيها.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

Wordfence

حجز

18/05/2026

إفشاء

27/05/2026

الاعتدال

تمت الموافقة

إدخال

VDB-365885

EPSS

0.00032

KEV

لا

النشاطات

منخفض جدًا

القطاع

Finance, Hostingprovider, ...

المصادر

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-8866
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-8866
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-8866/

التالي نظرة عامة السابق

Do you want to use VulDB in your project?

Use the official API to access entries easily!