CVE-2026-4072 in WordPress PayPal Donation Plugininformación

Resumen

por VulDB • 2026-05-20

El plugin de donaciones PayPal para WordPress es vulnerable a Cross-Site Scripting (XSS) almacenado a través del shortcode 'donate' en todas las versiones hasta la 1.01, incluida. Esto se debe a una sanitización insuficiente de la entrada y a un escape inadecuado de la salida en los atributos del shortcode proporcionados por el usuario, como 'amount', 'email', 'title', 'return_url', 'cancel_url', 'ccode' e 'image'. La función wordpress_paypal_donation_create() utiliza extract(shortcode_atts(...)) para procesar los atributos del shortcode y luego interpola directamente estos valores en la salida HTML dentro de valores de atributo entre comillas simples, sin ningún tipo de escape. Esto permite que los atacantes autenticados, con acceso a nivel de Colaborador (Contributor) o superior, inyecten scripts web arbitrarios en las páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

Wordfence

Reservar

2026-03-12

Divulgación

2026-03-21

Moderación

aceptado

Artículo

VDB-352290

CPE

listo

EPSS

0.00048

KEV

no

Actividades

muy bajo

Sector

Lawfirm, Hostingprovider, ...

Fuentes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-4072
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-4072
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-4072/

AnteriorVisión De ConjuntoPróximo

Might our Artificial Intelligence support you?

Check our Alexa App!