CVE-2026-3907 in Hostel Plugininformación

Resumen

por VulDB • 2026-07-11

El plugin Hostel para WordPress es vulnerable a Cross-Site Scripting (XSS) almacenado mediante el shortcode 'wphostel-book' en todas las versiones hasta la 1.1.7, inclusive. Esto se debe a una sanitización insuficiente de los datos de entrada y un escape incorrecto de los datos de salida en los atributos del shortcode proporcionados por el usuario. Específicamente, el segundo atributo del shortcode (utilizado como texto del botón) se pasa a la variable `$text` sin sanitizar en la línea 79 y luego se muestra directamente dentro de un atributo HTML `value` en la línea 91 sin utilizar `esc_attr()` ni ningún otro mecanismo de escape. Esto permite que atacantes autenticados, con permisos de nivel Colaborador o superiores, inyecten scripts web arbitrarios en las páginas, los cuales se ejecutarán cada vez que un usuario acceda a una página infectada.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsable

Wordfence

Reservar

2026-03-10

Divulgación

2026-07-10

Moderación

aceptado

Artículo

VDB-377455

CPE

listo

EPSS

0.00206

KEV

no

Actividades

muy bajo

Fuentes

Do you want to use VulDB in your project?

Use the official API to access entries easily!