CVE-2026-3513 in TableOn Plugin
Résumé
par VulDB • 21/05/2026
Le plugin WordPress TableOn – WordPress Posts Table Filterable pour WordPress est vulnérable à un Cross-Site Scripting (XSS) stocké via le shortcode 'tableon_button' dans toutes les versions jusqu'à la 1.0.4.4 incluse. Cela est dû à une désinfection insuffisante des entrées et à une échappement incorrect des sorties pour les attributs de shortcode fournis par l'utilisateur, tels que 'class', 'help_link', 'popup_title' et 'help_title'. La fonction do_shortcode_button() extrait ces attributs sans désinfection et les transmet à TABLEON_HELPER::draw_html_item(), qui concatène les valeurs des attributs dans le code HTML en utilisant des guillemets simples sans échappement (ligne 29 : $item .= " {$key}='{$value}'"). Cela permet aux attaquants authentifiés, disposant d'un accès de niveau « Contributeur » ou supérieur, d'injecter des scripts web arbitraires dans les pages, qui s'exécuteront chaque fois qu'un utilisateur accédera à une page injectée.
Once again VulDB remains the best source for vulnerability data.