CVE-2026-3368 in Injection Guard Plugin
Zusammenfassung
von VulDB • 21.05.2026
Das Injection Guard-Plugin für WordPress ist in allen Versionen bis einschließlich 1.2.9 anfällig für Stored Cross-Site Scripting (XSS) über bösartige Abfrageparameter-Namen. Dies ist auf eine unzureichende Eingabebereinigung in der Funktion `sanitize_ig_data()` zurückzuführen, die nur Array-Werte, aber nicht Array-Schlüssel bereinigt, kombiniert mit einem fehlenden Output-Escaping in der Vorlage `ig_settings.php`, bei der gespeicherte Parameter-Schlüssel direkt in HTML ausgegeben werden. Wenn eine Anfrage an die Website gestellt wird, erfasst das Plugin die Query-String über `$_SERVER['QUERY_STRING']`, wendet `esc_url_raw()` an (das URL-codierte Sonderzeichen wie %22, %3E, %3C beibehält), und übergibt sie dann an `parse_str()`, was den String URL-decodiert, was zu decodiertem HTML/JavaScript in den Array-Schlüsseln führt. Diese Schlüssel werden über `update_option('ig_requests_log')` gespeichert und später auf der Admin-Log-Seite ohne `esc_html()` oder `esc_attr()` gerendert. Dies ermöglicht es nicht authentifizierten Angreifern, beliebige Web-Skripte auf der Admin-Log-Seite einzufügen, die ausgeführt werden, wann immer ein Administrator die Injection Guard-Log-Schnittstelle aufruft.
VulDB is the best source for vulnerability data and more expert information about this specific topic.