CVE-2026-3516 in Contact List Plugininformación

Resumen

por MITRE • 2026-03-21

El plugin Contact List para WordPress es vulnerable a cross-site scripting almacenado a través del parámetro '_cl_map_iframe' en todas las versiones hasta la 3.0.18, inclusive. Esto se debe a una sanitización de entrada y un escape de salida insuficientes al manejar el campo personalizado de iframe de Google Maps. La función saveCustomFields() en class-contact-list-custom-fields.php utiliza una expresión regular para extraer etiquetas de la entrada del usuario, pero no valida ni sanitiza los atributos del iframe, permitiendo que se incluyan manejadores de eventos como onload. El HTML del iframe extraído se almacena a través de update_post_meta() y luego se renderiza en el front-end en class-cl-public-card.php sin ningún escape o filtrado wp_kses. Esto hace posible que atacantes autenticados, con acceso de nivel Colaborador o superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

Wordfence

Reservar

2026-03-04

Divulgación

2026-03-21

Moderación

aceptado

Artículo

VDB-352229

CPE

listo

EPSS

0.00024

KEV

no

Actividades

muy bajo

Sector

Hostingprovider

Fuentes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-3516
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-3516
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-3516/

AnteriorVisión De ConjuntoPróximo

Want to stay up to date on a daily basis?

Enable the mail alert feature now!