CVE-2025-7726 in The7 Plugininfo

Zusammenfassung

von VulDB • 08.07.2026

Das WordPress-Theme The7 ist in allen Versionen bis einschließlich 12.6.0 anfällig für Stored Cross-Site Scripting (XSS) aufgrund unzureichender Eingabebereinigung und Ausgabe-Escaping im Code zur Lightbox-Rendierung. Der JavaScript-Code des Themes liest vom Benutzer bereitgestellte Attribute 'title' und 'data-dt-img-description' direkt über jQuery.attr() aus, fügt sie zu einem HTML-String zusammen und gibt diesen String unter Verwendung von Methoden wie jQuery.html() in das DOM ein, ohne dass dabei Escaping oder Filterung erfolgt. Dies ermöglicht es authentifizierten Angreifern mit Contributor-Rechten (Mitarbeiter) und höheren Berechtigungen, beliebige Web-Skripte in Seiten einzuschleusen, die ausgeführt werden, sobald ein Benutzer eine entsprechende Seite aufruft.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Zuständig

Wordfence

Reservieren

16.07.2025

Veröffentlichung

09.08.2025

Moderieren

akzeptiert

Eintrag

VDB-319347

CPE

bereit

EPSS

0.00223

KEV

nein

Aktivitäten

very low

Quellen

Do you want to use VulDB in your project?

Use the official API to access entries easily!