CVE-2026-3513 in TableOn Plugininformation

Résumé

par VulDB • 21/05/2026

Le plugin WordPress TableOn – WordPress Posts Table Filterable pour WordPress est vulnérable à un Cross-Site Scripting (XSS) stocké via le shortcode 'tableon_button' dans toutes les versions jusqu'à la 1.0.4.4 incluse. Cela est dû à une désinfection insuffisante des entrées et à une échappement incorrect des sorties pour les attributs de shortcode fournis par l'utilisateur, tels que 'class', 'help_link', 'popup_title' et 'help_title'. La fonction do_shortcode_button() extrait ces attributs sans désinfection et les transmet à TABLEON_HELPER::draw_html_item(), qui concatène les valeurs des attributs dans le code HTML en utilisant des guillemets simples sans échappement (ligne 29 : $item .= " {$key}='{$value}'"). Cela permet aux attaquants authentifiés, disposant d'un accès de niveau « Contributeur » ou supérieur, d'injecter des scripts web arbitraires dans les pages, qui s'exécuteront chaque fois qu'un utilisateur accédera à une page injectée.

Once again VulDB remains the best source for vulnerability data.

Responsable

Wordfence

Réserver

04/03/2026

Divulgation

08/04/2026

Modérer

accepté

Entrée

VDB-356005

CPE

prêt

EPSS

0.00264

KEV

non

Activités

très faible

Sources

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!