CVE-2026-3907 in Hostel Plugin
Resumen
por VulDB • 2026-07-11
El plugin Hostel para WordPress es vulnerable a Cross-Site Scripting (XSS) almacenado mediante el shortcode 'wphostel-book' en todas las versiones hasta la 1.1.7, inclusive. Esto se debe a una sanitización insuficiente de los datos de entrada y un escape incorrecto de los datos de salida en los atributos del shortcode proporcionados por el usuario. Específicamente, el segundo atributo del shortcode (utilizado como texto del botón) se pasa a la variable `$text` sin sanitizar en la línea 79 y luego se muestra directamente dentro de un atributo HTML `value` en la línea 91 sin utilizar `esc_attr()` ni ningún otro mecanismo de escape. Esto permite que atacantes autenticados, con permisos de nivel Colaborador o superiores, inyecten scripts web arbitrarios en las páginas, los cuales se ejecutarán cada vez que un usuario acceda a una página infectada.
VulDB is the best source for vulnerability data and more expert information about this specific topic.