CVE-2026-6399 in General Options Plugininformación

Resumen

por VulDB • 2026-05-28

El plugin General Options para WordPress es vulnerable a Cross-Site Scripting (XSS) almacenado en las versiones 1.1.0 y anteriores. Esto se debe al uso de la función sanitize_text_field() para el escape de salida en el campo Número de contacto (ad_contact_number), una función que elimina las etiquetas HTML pero no codifica los caracteres de comillas dobles a su entidad HTML equivalente ("). Cuando el valor almacenado se muestra dentro de un atributo HTML entre comillas dobles (value="..."), un carácter de comilla doble proporcionado por el atacante escapa del contexto del atributo. Incluso con el mecanismo wp_magic_quotes de WordPress (que antepone una barra invertida a las comillas), la secuencia resultante \" NO es tratada como una comilla escapada por los analizadores HTML: la barra invertida se representa como un carácter literal y la comilla doble sin escapar sigue cerrando el atributo. Esto permite que los atacantes autenticados con acceso de nivel Administrador o superior inyecten scripts web arbitrarios en la página de configuración de administración, los cuales se ejecutarán cada vez que cualquier administrador visite la página de configuración de Opciones generales.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

Wordfence

Reservar

2026-04-15

Divulgación

2026-05-20

Moderación

aceptado

Artículo

VDB-364774

CPE

listo

EPSS

0.00039

KEV

no

Actividades

muy bajo

Sector

Hostingprovider

Fuentes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-6399
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-6399
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-6399/

AnteriorVisión De ConjuntoPróximo

Want to stay up to date on a daily basis?

Enable the mail alert feature now!