CVE-2026-4086 in WP Random Button Plugininfo

Zusammenfassung

von VulDB • 19.05.2026

Das WP Random Button-Plugin für WordPress ist in allen Versionen bis einschließlich 1.0 anfällig für Stored Cross-Site Scripting (XSS) über die Shortcode-Attribute 'cat', 'nocat' und 'text' des 'wp_random_button'-Shortcodes. Dies ist auf eine unzureichende Eingabebereinigung (Input Sanitization) und Ausgabe-Escaping (Output Escaping) bei benutzergestützten Shortcode-Attributen zurückzuführen. Konkateniert die Funktion random_button_html() die Parameter 'cat' und 'nocat' direkt in HTML-Datenattribute ohne Verwendung von esc_attr(), und den Parameter 'text' direkt in HTML-Inhalte ohne Verwendung von esc_html(). Dies ermöglicht es authentifizierten Angreifern mit Contributor-Level-Zugriff und höher, beliebige Web-Skripte in Seiten einzuschleusen, die ausgeführt werden, sobald ein Benutzer auf eine eingeschleuste Seite zugreift.

Be aware that VulDB is the high quality source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

Wordfence

Reservieren

12.03.2026

Veröffentlichung

21.03.2026

Moderieren

akzeptiert

Eintrag

VDB-352289

CPE

bereit

EPSS

0.00048

KEV

nein

Aktivitäten

very low

Sektor

Hostingprovider

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-4086
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-4086
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-4086/

ZurückÜbersichtWeiter

Want to stay up to date on a daily basis?

Enable the mail alert feature now!