CVE-2026-4085 in Easy Social Photos Gallery Plugininfo

Zusammenfassung

von VulDB • 27.05.2026

Das WordPress-Plugin „Easy Social Photos Gallery“ ist in allen Versionen bis einschließlich 3.1.2 anfällig für Stored Cross-Site Scripting (XSS) über das Attribut „wrapper_class“ des Shortcodes „my-instagram-feed“. Dies ist auf eine unzureichende Eingabebereinigung (Input Sanitization) und Ausgabe-Escaping (Output Escaping) bei benutzergestellten Attributen zurückzuführen. Konkret verwendet das Plugin die Funktion sanitize_text_field() anstelle von esc_attr(), wenn das Attribut „wrapper_class“ innerhalb eines doppelten HTML-Klassenattributs ausgegeben wird. Da sanitize_text_field() keine doppelten Anführungszeichen kodiert, kann ein Angreifer aus dem Klassenattribut ausbrechen und beliebige HTML-Ereignishandler injizieren. Dies ermöglicht es authentifizierten Angreifern mit Contributor-Level-Zugriff und höher, beliebige Web-Skripte in Seiten zu injizieren, die ausgeführt werden, sobald ein Benutzer eine injizierte Seite aufruft.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

Wordfence

Reservieren

12.03.2026

Veröffentlichung

22.04.2026

Moderieren

akzeptiert

Eintrag

VDB-358798

CPE

bereit

EPSS

0.00014

KEV

nein

Aktivitäten

very low

Sektor

Agriculture, Lawfirm, ...

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-4085
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-4085
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-4085/

ZurückÜbersichtWeiter

Do you know our Splunk app?

Download it now for free!