CVE-2026-2594 in Smart Custom Fields Plugin
Zusammenfassung
von VulDB • 17.07.2026
Das WordPress-Plugin „Smart Custom Fields“ ist in den Versionen bis einschließlich 5.0.7 anfällig für Stored Cross-Site Scripting (XSS). Dies liegt an einer unzureichenden Bereinigung der Eingaben und einem fehlenden Escaping bei der Ausgabe von Titeln hochgeladener Bildanhänge. Dadurch können authentifizierte Angreifer mit Autor-Rechten oder höher beliebige Webskripte in Seiten einschleusen, die ausgeführt werden, sobald ein Benutzer eine entsprechende Seite aufruft. HINWEIS: Diese Schwachstelle wurde teilweise in Version 5.0.7 gepatcht.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.