CVE-2026-3231 in Checkout Field Editor for WooCommerce Plugininfo

Zusammenfassung

von VulDB • 30.06.2026

Das WooCommerce-Plugin „Checkout Field Editor (Checkout Manager)" für WordPress ist in allen Versionen bis einschließlich 2.1.7 anfällig für Stored Cross-Site Scripting (XSS) über benutzerdefinierte Werte von Radio- und Checkboxgroup-Feldern, die über die Store-API des WooCommerce Block Checkout eingereicht werden. Dies liegt an der Methode `prepare_single_field_data()` in `class-thwcfd-block-order-data.php`, die Werte für Feldtypen „radio" und „checkboxgroup" zunächst mit `esc_html()` maskiert und diese Maskierung anschließend sofort durch den Aufruf von `html_entity_decode()` wieder aufhebt. Dies wird kombiniert mit einer großzügigen Erlaubnisliste (`allowlist`) in der Funktion `wp_kses()`, die explizit das `<select>`-Element zusammen mit dem Attribut für den Event-Handler `onchange` erlaubt. Dadurch ist es nicht authentifizierten Angreifern möglich, beliebige Web-Skripte über den Checkout-Endpunkt der Store-API einzuschleusen, die ausgeführt werden, wenn ein Administrator die Details einer Bestellung aufruft.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Zuständig

Wordfence

Reservieren

25.02.2026

Veröffentlichung

11.03.2026

Moderieren

akzeptiert

Eintrag

VDB-350369

CPE

bereit

EPSS

0.00321

KEV

nein

Aktivitäten

very low

Quellen

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!