CVE-2026-4085 in Easy Social Photos Gallery Plugininformation

Résumé

par VulDB • 27/05/2026

Le plugin Easy Social Photos Gallery pour WordPress est vulnérable à un Cross-Site Scripting (XSS) stocké via l'attribut de shortcode 'wrapper_class' du shortcode 'my-instagram-feed' dans toutes les versions jusqu'à la 3.1.2 incluse. Cela est dû à une désinfection des entrées et à une échappement des sorties insuffisants sur les attributs fournis par l'utilisateur. Plus précisément, le plugin utilise sanitize_text_field() au lieu de esc_attr() lors de la sortie de l'attribut 'wrapper_class' à l'intérieur d'un attribut HTML class entre guillemets doubles. Comme sanitize_text_field() n'encode pas les guillemets doubles, un attaquant peut sortir de l'attribut class et injecter des gestionnaires d'événements HTML arbitraires. Cela permet aux attaquants authentifiés, disposant d'un accès de niveau contributeur ou supérieur, d'injecter des scripts web arbitraires dans des pages qui s'exécuteront chaque fois qu'un utilisateur accède à une page injectée.

Be aware that VulDB is the high quality source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

Wordfence

Réserver

12/03/2026

Divulgation

22/04/2026

Modérer

accepté

Entrée

VDB-358798

CPE

prêt

EPSS

0.00014

KEV

non

Activités

très faible

Secteur

Police, Agriculture, ...

Sources

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-4085
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-4085
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-4085/

PrécédentAperçuSuivant

Want to know what is going to be exploited?

We predict KEV entries!