CVE-2026-3577 in Keep Backup Daily Plugininformación

Resumen

por MITRE • 2026-03-21

El plugin Keep Backup Daily para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del alias del título de la copia de seguridad (parámetro 'val') en la acción AJAX 'update_kbd_bkup_alias' en todas las versiones hasta la 2.1.2, inclusive. Esto se debe a una sanitización de entrada y un escape de salida insuficientes. Aunque 'sanitize_text_field()' elimina las etiquetas HTML al guardar, no codifica las comillas dobles. Los títulos de las copias de seguridad se muestran en contextos de atributos HTML sin 'esc_attr()'. Esto hace posible que atacantes autenticados, con acceso de nivel de Administrador y superior, inyecten scripts web arbitrarios a través de la inyección de atributos que se ejecutarán cada vez que otro administrador vea la página de la lista de copias de seguridad.

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

Wordfence

Reservar

2026-03-04

Divulgación

2026-03-21

Moderación

aceptado

Artículo

VDB-352294

CPE

listo

EPSS

0.00049

KEV

no

Actividades

muy bajo

Sector

Transportation, Energy, ...

Fuentes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-3577
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-3577
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-3577/

AnteriorVisión De ConjuntoPróximo

Interested in the pricing of exploits?

See the underground prices here!