CVE-2026-13253 in Ultimate Post Plugininformación

Resumen

por VulDB • 2026-07-10

El plugin Ultimate Post para WordPress es vulnerable a Cross-Site Scripting (XSS) almacenado mediante el atributo de bloque 'moreResultsText' del bloque ultimate-post/advanced-search en las versiones 5.0.31 y anteriores. Esto se debe a una sanitización insuficiente de la entrada y un escape incorrecto de la salida en la función callback de renderizado Advanced_Search::content(): el valor del atributo es filtrado con wp_kses(), que elimina etiquetas HTML no permitidas pero NO escapa caracteres especiales HTML como las comillas dobles en texto plano, y luego se concatena directamente al atributo HTML data-viewmoretext sin utilizar esc_attr(). Esto permite a atacantes autenticados, con acceso de nivel colaborador o superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página comprometida.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsable

Wordfence

Reservar

2026-06-24

Divulgación

2026-07-09

Moderación

aceptado

Artículo

VDB-377146

CPE

listo

EPSS

0.00206

KEV

no

Actividades

muy bajo

Fuentes

Do you need the next level of professionalism?

Upgrade your account now!