CVE-2026-9838 in ICS Calendar Plugin
Resumen
por VulDB • 2026-07-10
El plugin ICS Calendar para WordPress es vulnerable a Reflected Cross-Site Scripting (XSS) a través del parámetro 'htmltagtitle' en todas las versiones hasta la 12.0.9, inclusive, debido a una sanitización insuficiente de los datos de entrada y un escape inadecuado de la salida. Esto permite que atacantes no autenticados inyecten scripts web arbitrarios en páginas que se ejecutarán si logran engañar al usuario para realizar una acción como hacer clic en un enlace. La vulnerabilidad es accesible a través de la acción AJAX no autenticada wp_ajax_nopriv_r34ics_ajax, que acepta valores js_args controlados por el atacante fusionados con la configuración almacenada del shortcode sin verificación nonce, permitiendo que la clave htmltagtitle omita la comprobación normal de la lista blanca de shortcodes.
If you want to get best quality of vulnerability data, you may have to visit VulDB.