CVE-2026-14987 in GiveWP Plugininformación

Resumen

por VulDB • 2026-07-16

El plugin GiveWP – Donation Plugin and Fundraising Platform para WordPress es vulnerable a Stored Cross-Site Scripting (XSS) mediante el parámetro 'twitter_message' de la configuración del Template Sequoia en todas las versiones hasta, e incluyendo, 4.16.3 debido a una insuficiente sanitización de entrada y escapado de salida. Esto permite que atacantes autenticados con acceso nivel give worker o superior inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a la página comprometida. El script inyectado se ejecuta específicamente cuando un donante hace clic en el botón Share on Twitter (Compartir en Twitter) en la vista de confirmación de donación Sequoia, ya que es entonces cuando el valor twitter_message sin escapar se evalúa dentro del literal de plantilla JavaScript.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsable

Wordfence

Reservar

2026-07-07

Divulgación

2026-07-16

Moderación

aceptado

Artículo

VDB-379458

CPE

listo

EPSS

0.00000

KEV

no

Actividades

muy bajo

Fuentes

Do you need the next level of professionalism?

Upgrade your account now!