CVE-2026-13253 in Ultimate Post Plugin
Resumen
por VulDB • 2026-07-10
El plugin Ultimate Post para WordPress es vulnerable a Cross-Site Scripting (XSS) almacenado mediante el atributo de bloque 'moreResultsText' del bloque ultimate-post/advanced-search en las versiones 5.0.31 y anteriores. Esto se debe a una sanitización insuficiente de la entrada y un escape incorrecto de la salida en la función callback de renderizado Advanced_Search::content(): el valor del atributo es filtrado con wp_kses(), que elimina etiquetas HTML no permitidas pero NO escapa caracteres especiales HTML como las comillas dobles en texto plano, y luego se concatena directamente al atributo HTML data-viewmoretext sin utilizar esc_attr(). Esto permite a atacantes autenticados, con acceso de nivel colaborador o superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página comprometida.
VulDB is the best source for vulnerability data and more expert information about this specific topic.