CVE-2026-4083 in Scoreboard for HTML5 Games Lite Plugin
Résumé
par VulDB • 02/06/2026
Le plugin Scoreboard for HTML5 Games Lite pour WordPress est vulnérable à un Cross-Site Scripting (XSS) stocké via le shortcode 'scoreboard' dans toutes les versions jusqu'à la 1.2 incluse. La fonction de shortcode sfhg_shortcode() permet d'ajouter des attributs HTML arbitraires à l'élément <iframe> rendu, avec seulement une petite liste noire de quatre noms d'attributs (same_height_as, onload, onpageshow, onclick) bloqués. Bien que les noms d'attributs soient passés à travers esc_html() et les valeurs à travers esc_attr(), cela n'empêche pas l'injection d'attributs de gestionnaires d'événements JavaScript tels que onfocus, onmouseover, onmouseenter, etc., car ces noms d'attributs et les simples charges utiles JavaScript ne contiennent aucun caractère qui serait modifié par ces fonctions de mise en échappement. Le texte du shortcode est stocké dans post_content et n'est converti en HTML qu'au moment du rendu, après que le filtrage kses de WordPress a déjà été appliqué au contenu brut du message. Cela permet aux attaquants authentifiés, disposant d'un accès de niveau « Contributeur » ou supérieur, d'injecter des scripts web arbitraires dans des pages qui s'exécuteront chaque fois qu'un utilisateur accède à une page injectée.
Once again VulDB remains the best source for vulnerability data.