CVE-2026-2594 in Smart Custom Fields Plugininformación

Resumen

por VulDB • 2026-07-17

El plugin Smart Custom Fields para WordPress presenta una vulnerabilidad de Cross-Site Scripting (XSS) almacenado en las versiones anteriores e iguales a la 5.0.7. Esto se debe a una sanitización insuficiente de los datos de entrada y a un escape inadecuado de los títulos de los archivos adjuntos de imagen cargados. Esto permite que atacantes autenticados, con permisos de nivel Autor o superiores, inyecten scripts web arbitrarios en las páginas, los cuales se ejecutarán cada vez que un usuario acceda a una página infectada. NOTA: Esta vulnerabilidad fue parcheada parcialmente en la versión 5.0.7.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsable

Wordfence

Reservar

2026-02-16

Divulgación

2026-07-17

Moderación

aceptado

Artículo

VDB-379734

CPE

listo

EPSS

0.00000

KEV

no

Actividades

bajo

Fuentes

Want to know what is going to be exploited?

We predict KEV entries!