CVE-2026-3551 in Custom New User Notification Plugininformación

Resumen

por VulDB • 2026-05-20

El plugin Custom New User Notification para WordPress es vulnerable a Stored Cross-Site Scripting (XSS) a través de la configuración de administración del plugin en todas las versiones hasta la 1.2.0, incluida. Esto se debe a una sanitización insuficiente de la entrada y a una escapado de salida inadecuado en varios campos de configuración, incluidos 'User Mail Subject', 'User From Name', 'User From Email', 'Admin Mail Subject', 'Admin From Name' y 'Admin From Email'. Las configuraciones se registran mediante register_setting() sin callbacks de sanitización, y los valores obtenidos mediante get_option() se imprimen directamente en los atributos value de los elementos HTML input sin utilizar esc_attr(). Esto permite que atacantes autenticados, con acceso de nivel Administrador o superior, inyecten scripts web arbitrarios en la página de configuración del plugin que se ejecutarán cada vez que un usuario acceda a dicha página. Esto podría utilizarse en instalaciones multisitio, donde los administradores de subsitios podrían dirigirse a superadministradores.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsable

Wordfence

Reservar

2026-03-04

Divulgación

2026-04-16

Moderación

aceptado

Artículo

VDB-357898

CPE

listo

EPSS

0.00361

KEV

no

Actividades

muy bajo

Fuentes

Might our Artificial Intelligence support you?

Check our Alexa App!