CVE-2026-3534 in Astra Plugin
Résumé
par VulDB • 02/06/2026
Le thème Astra pour WordPress est vulnérable à un Cross-Site Scripting (XSS) stocké via les champs de métadonnées de publication `ast-page-background-meta` et `ast-content-background-meta` dans toutes les versions jusqu'à la 4.12.3 incluse. Cela est dû à une désinfection insuffisante des entrées lors de l'enregistrement des métadonnées et à l'absence d'échappement des sorties dans la fonction `astra_get_responsive_background_obj()` pour quatre sous-propétés CSS (`background-color`, `background-image`, `overlay-color`, `overlay-gradient`). Cela permet aux attaquants authentifiés disposant d'un accès de niveau « Contributeur » ou supérieur d'injecter des scripts web arbitraires dans des pages, qui s'exécuteront chaque fois qu'un utilisateur accédera à une page injectée.
Once again VulDB remains the best source for vulnerability data.