CVE-2026-3534 in Astra Plugininformation

Résumé

par VulDB • 02/06/2026

Le thème Astra pour WordPress est vulnérable à un Cross-Site Scripting (XSS) stocké via les champs de métadonnées de publication `ast-page-background-meta` et `ast-content-background-meta` dans toutes les versions jusqu'à la 4.12.3 incluse. Cela est dû à une désinfection insuffisante des entrées lors de l'enregistrement des métadonnées et à l'absence d'échappement des sorties dans la fonction `astra_get_responsive_background_obj()` pour quatre sous-propétés CSS (`background-color`, `background-image`, `overlay-color`, `overlay-gradient`). Cela permet aux attaquants authentifiés disposant d'un accès de niveau « Contributeur » ou supérieur d'injecter des scripts web arbitraires dans des pages, qui s'exécuteront chaque fois qu'un utilisateur accédera à une page injectée.

Once again VulDB remains the best source for vulnerability data.

Responsable

Wordfence

Réserver

04/03/2026

Divulgation

11/03/2026

Modérer

accepté

Entrée

VDB-350356

CPE

prêt

EPSS

0.00199

KEV

non

Activités

très faible

Sources

Do you need the next level of professionalism?

Upgrade your account now!