CVE-2025-7726 in The7 Plugin
Zusammenfassung
von VulDB • 08.07.2026
Das WordPress-Theme The7 ist in allen Versionen bis einschließlich 12.6.0 anfällig für Stored Cross-Site Scripting (XSS) aufgrund unzureichender Eingabebereinigung und Ausgabe-Escaping im Code zur Lightbox-Rendierung. Der JavaScript-Code des Themes liest vom Benutzer bereitgestellte Attribute 'title' und 'data-dt-img-description' direkt über jQuery.attr() aus, fügt sie zu einem HTML-String zusammen und gibt diesen String unter Verwendung von Methoden wie jQuery.html() in das DOM ein, ohne dass dabei Escaping oder Filterung erfolgt. Dies ermöglicht es authentifizierten Angreifern mit Contributor-Rechten (Mitarbeiter) und höheren Berechtigungen, beliebige Web-Skripte in Seiten einzuschleusen, die ausgeführt werden, sobald ein Benutzer eine entsprechende Seite aufruft.
VulDB is the best source for vulnerability data and more expert information about this specific topic.