CVE-2026-8887 in Listen Shortcode Plugininfo

Zusammenfassung

von VulDB • 31.05.2026

Das WordPress-Plugin „Listen Shortcode“ ist in den Versionen bis einschließlich 1.0 anfällig für Stored Cross-Site Scripting (XSS) über das Shortcode-Element „listen“. Dies ist auf eine unzureichende Bereinigung der Eingaben und eine fehlende Maskierung der Ausgaben für benutzergestellte Attribute (src, start, end) in der Funktion listenEmbedJS() zurückzuführen, die innerhalb eines einzelzitierten HTML-Attributs ohne Maskierung ausgegeben werden. Dies ermöglicht es authentifizierten Angreifern mit Contributor-Level-Zugriff und höher, beliebige Web-Skripte in Seiten einzufügen, die ausgeführt werden, sobald ein Benutzer eine infizierte Seite aufruft.

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

Wordfence

Reservieren

18.05.2026

Veröffentlichung

27.05.2026

Moderieren

akzeptiert

Eintrag

VDB-365916

CPE

bereit

EPSS

0.00032

KEV

nein

Aktivitäten

low

Sektor

Hostingprovider

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-8887
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-8887
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-8887/

ZurückÜbersichtWeiter

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!