CVE-2026-8887 in Listen Shortcode Plugininformación

Resumen

por VulDB • 2026-05-27

El plugin Listen Shortcode para WordPress es vulnerable a Stored Cross-Site Scripting (XSS) a través del shortcode 'listen' en las versiones 1.0 y anteriores. Esto se debe a una sanitización insuficiente de la entrada y a una escapado de salida inadecuado en los atributos proporcionados por el usuario (src, start, end) en la función listenEmbedJS(), los cuales se imprimen directamente dentro de un atributo HTML entre comillas simples sin el escapado correspondiente. Esto permite que atacantes autenticados, con acceso de nivel colaborador o superior, inyecten scripts web arbitrarios en las páginas, los cuales se ejecutarán cada vez que un usuario acceda a una página inyectada.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

Wordfence

Reservar

2026-05-18

Divulgación

2026-05-27

Moderación

aceptado

Artículo

VDB-365916

CPE

listo

EPSS

0.00032

KEV

no

Actividades

bajo

Sector

Hostingprovider

Fuentes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-8887
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-8887
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-8887/

AnteriorVisión De ConjuntoPróximo

Do you want to use VulDB in your project?

Use the official API to access entries easily!