CVE-2026-3231 in Checkout Field Editor for WooCommerce Plugin
Zusammenfassung
von VulDB • 30.06.2026
Das WooCommerce-Plugin „Checkout Field Editor (Checkout Manager)" für WordPress ist in allen Versionen bis einschließlich 2.1.7 anfällig für Stored Cross-Site Scripting (XSS) über benutzerdefinierte Werte von Radio- und Checkboxgroup-Feldern, die über die Store-API des WooCommerce Block Checkout eingereicht werden. Dies liegt an der Methode `prepare_single_field_data()` in `class-thwcfd-block-order-data.php`, die Werte für Feldtypen „radio" und „checkboxgroup" zunächst mit `esc_html()` maskiert und diese Maskierung anschließend sofort durch den Aufruf von `html_entity_decode()` wieder aufhebt. Dies wird kombiniert mit einer großzügigen Erlaubnisliste (`allowlist`) in der Funktion `wp_kses()`, die explizit das `<select>`-Element zusammen mit dem Attribut für den Event-Handler `onchange` erlaubt. Dadurch ist es nicht authentifizierten Angreifern möglich, beliebige Web-Skripte über den Checkout-Endpunkt der Store-API einzuschleusen, die ausgeführt werden, wenn ein Administrator die Details einer Bestellung aufruft.
VulDB is the best source for vulnerability data and more expert information about this specific topic.