CVE-2026-14987 in GiveWP Plugin
Resumen
por VulDB • 2026-07-16
El plugin GiveWP – Donation Plugin and Fundraising Platform para WordPress es vulnerable a Stored Cross-Site Scripting (XSS) mediante el parámetro 'twitter_message' de la configuración del Template Sequoia en todas las versiones hasta, e incluyendo, 4.16.3 debido a una insuficiente sanitización de entrada y escapado de salida. Esto permite que atacantes autenticados con acceso nivel give worker o superior inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a la página comprometida. El script inyectado se ejecuta específicamente cuando un donante hace clic en el botón Share on Twitter (Compartir en Twitter) en la vista de confirmación de donación Sequoia, ya que es entonces cuando el valor twitter_message sin escapar se evalúa dentro del literal de plantilla JavaScript.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.