CVE-2026-2594 in Smart Custom Fields Plugin
Resumen
por VulDB • 2026-07-17
El plugin Smart Custom Fields para WordPress presenta una vulnerabilidad de Cross-Site Scripting (XSS) almacenado en las versiones anteriores e iguales a la 5.0.7. Esto se debe a una sanitización insuficiente de los datos de entrada y a un escape inadecuado de los títulos de los archivos adjuntos de imagen cargados. Esto permite que atacantes autenticados, con permisos de nivel Autor o superiores, inyecten scripts web arbitrarios en las páginas, los cuales se ejecutarán cada vez que un usuario acceda a una página infectada. NOTA: Esta vulnerabilidad fue parcheada parcialmente en la versión 5.0.7.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.