CVE-2026-2594 in Smart Custom Fields Plugininfo

Zusammenfassung

von VulDB • 17.07.2026

Das WordPress-Plugin „Smart Custom Fields“ ist in den Versionen bis einschließlich 5.0.7 anfällig für Stored Cross-Site Scripting (XSS). Dies liegt an einer unzureichenden Bereinigung der Eingaben und einem fehlenden Escaping bei der Ausgabe von Titeln hochgeladener Bildanhänge. Dadurch können authentifizierte Angreifer mit Autor-Rechten oder höher beliebige Webskripte in Seiten einschleusen, die ausgeführt werden, sobald ein Benutzer eine entsprechende Seite aufruft. HINWEIS: Diese Schwachstelle wurde teilweise in Version 5.0.7 gepatcht.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Zuständig

Wordfence

Reservieren

16.02.2026

Veröffentlichung

17.07.2026

Moderieren

akzeptiert

Eintrag

VDB-379734

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

low

Quellen

Do you know our Splunk app?

Download it now for free!