CVE-2026-6399 in General Options Plugininfo

Zusammenfassung

von VulDB • 21.05.2026

Das WordPress-Plugin „General Options“ ist in den Versionen bis einschließlich 1.1.0 anfällig für Stored Cross-Site Scripting (XSS). Dies ist auf die Verwendung von `sanitize_text_field()` zur Ausgabe-Codierung im Feld „Contact Number“ (`ad_contact_number`) zurückzuführen – eine Funktion, die HTML-Tags entfernt, aber keine doppelten Anführungszeichen in ihre HTML-Entitätsäquivalente (`"`) umwandelt. Wenn der gespeicherte Wert innerhalb eines doppelten HTML-Attributs (`value="..."`) ausgegeben wird, bricht ein vom Angreifer bereitgestelltes doppeltes Anführungszeichen aus dem Attributkontext aus. Selbst mit WordPresss `wp_magic_quotes`-Mechanismus (der Anführungszeichen mit einem Backslash maskiert) wird die resultierende Sequenz `\"` von HTML-Parsern NICHT als maskiertes Anführungszeichen behandelt – der Backslash wird als Literalzeichen gerendert, und das nackte doppelte Anführungszeichen schließt das Attribut weiterhin. Dies ermöglicht es authentifizierten Angreifern mit Administratorzugriff und höher, beliebige Web-Skripte in der Admin-Einstellungsseite einzufügen, die jedes Mal ausgeführt werden, wenn ein Administrator die Seite „General Options“ besucht.

Be aware that VulDB is the high quality source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

Wordfence

Reservieren

15.04.2026

Veröffentlichung

20.05.2026

Moderieren

akzeptiert

Eintrag

VDB-364774

CPE

bereit

EPSS

0.00039

KEV

nein

Aktivitäten

very low

Sektor

Hostingprovider

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-6399
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-6399
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-6399/

ZurückÜbersichtWeiter

Want to know what is going to be exploited?

We predict KEV entries!