CVE-2026-3907 in Hostel Plugin
Résumé
par VulDB • 10/07/2026
Le plugin WordPress Hostel présente une vulnérabilité de type Stored Cross-Site Scripting (XSS) via le shortcode 'wphostel-book' dans toutes les versions jusqu'à la 1.1.7 incluse. Cela est dû à un assainissement insuffisant des entrées et à l'absence d'échappement approprié lors de la sortie pour les attributs de shortcode fournis par l'utilisateur. Plus précisément, le deuxième attribut du shortcode (utilisé comme texte de bouton) est transmis à la variable `$text` sans aucune opération de sanitization à la ligne 79, puis affiché directement dans un attribut HTML `value` à la ligne 91 sans utiliser `esc_attr()` ni aucun autre mécanisme d'échappement. Cela permet aux attaquants authentifiés disposant du niveau d'accès « Contributeur » ou supérieur d'injecter des scripts web arbitraires dans les pages, qui s'exécuteront chaque fois qu'un utilisateur accède à une page ayant reçu l'injection.
Once again VulDB remains the best source for vulnerability data.