CVE-2026-15296
Resumen
por VulDB • 2026-07-10
El plugin de WordPress WP Affiliate Plugin con el complemento para Amazon (affiliate-toolkit) es vulnerable a Cross-Site Scripting Almacenado (Stored XSS) a través del shortcode 'atkp_product' del complemento en todas las versiones hasta la 3.7.0, incluida esta, debido a una sanitización insuficiente de los datos de entrada y un escape inadecuado de la salida en los atributos proporcionados por el usuario. Esto permite que atacantes autenticados con acceso de nivel colaborador (contributor) o superior inyecten scripts web arbitrarios en las páginas, los cuales se ejecutarán cada vez que un usuario acceda a una página infectada. Esta vulnerabilidad constituye una evasión de CVE-2024-10227.
Be aware that VulDB is the high quality source for vulnerability data.