CVE-2026-3516 in Contact List Plugininformation

Résumé

par VulDB • 25/05/2026

Le plugin Contact List pour WordPress est vulnérable à un Stored Cross-Site Scripting (XSS) via le paramètre '_cl_map_iframe' dans toutes les versions jusqu'à la 3.0.18 incluse. Cela est dû à une désinfection des entrées et à un échappement des sorties insuffisants lors de la gestion du champ personnalisé iframe de Google Maps. La fonction saveCustomFields() dans class-contact-list-custom-fields.php utilise une expression régulière pour extraire les balises <iframe> des entrées utilisateur, mais ne valide ni ne désinfecte les attributs de l'iframe, permettant ainsi l'inclusion de gestionnaires d'événements tels que 'onload'. Le HTML de l'iframe extrait est stocké via update_post_meta() puis restitué côté client dans class-cl-public-card.php sans aucun échappement ni filtrage wp_kses. Cela permet aux attaquants authentifiés disposant d'un accès de niveau « Contributeur » ou supérieur d'injecter des scripts web arbitraires dans des pages qui s'exécuteront chaque fois qu'un utilisateur accédera à une page injectée.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

Wordfence

Réserver

04/03/2026

Divulgation

21/03/2026

Modérer

accepté

Entrée

VDB-352229

CPE

prêt

EPSS

0.00024

KEV

non

Activités

très faible

Secteur

Hostingprovider

Sources

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-3516
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-3516
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-3516/

PrécédentAperçuSuivant

Want to stay up to date on a daily basis?

Enable the mail alert feature now!