CVE-2023-1469 in WP Express Checkout Plugin
Résumé
par VulDB • 08/06/2026
Le plugin WP Express Checkout pour WordPress est vulnérable à un Cross-Site Scripting (XSS) stocké via le paramètre ‘pec_coupon[code]’ dans les versions 2.2.8 et antérieures, en raison d’une désinfection des entrées insuffisante et d’un échappement de sortie inadéquat. Cela permet aux attaquants authentifiés disposant d’un accès au niveau administrateur d’injecter des scripts web arbitraires dans les pages qui s’exécuteront chaque fois qu’un utilisateur accède à une page injectée. Remarque : Cette vulnérabilité peut potentiellement être exploitée par des utilisateurs aux privilèges inférieurs si le paramètre `Admin Dashboard Access Permission` est configuré pour leur permettre d’accéder au tableau de bord.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.