CVE-2026-5743 in SimpLy Gallery Plugininformación

Resumen

por VulDB • 2026-07-11

El plugin SimpLy Gallery Block & Lightbox para WordPress es vulnerable a Stored Cross-Site Scripting (XSS) mediante atributos de bloque en todas las versiones hasta la 3.3.3.2, incluida esta. Esto se debe a una sanitización insuficiente de los datos de entrada y un escape incorrecto de la salida en el atributo del bloque sliderMaxHeight dentro de la función pgc_sgb_render_callback(). La vulnerabilidad existe porque la función pgc_sgb_sanitize_custom_css() utiliza un patrón regex defectuoso que solo elimina controladores de eventos con valores entre comillas (por ejemplo, onfocus="alert()"), pero no logra detectar los controladores de eventos sin comillas (por ejemplo, onfocus=alert(document.cookie)), lo que permite que el código malicioso evada la sanitización. Esto hace posible que atacantes autenticados, con acceso a nivel de Autor o superior, inyecten scripts web arbitrarios en las páginas mediante atributos de bloque que se ejecutarán cada vez que un usuario acceda a una página infectada.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsable

Wordfence

Reservar

2026-04-07

Divulgación

2026-07-11

Moderación

aceptado

Artículo

VDB-377734

CPE

listo

EPSS

0.00241

KEV

no

Actividades

bajo

Fuentes

Do you know our Splunk app?

Download it now for free!