CVE-2026-4665 in WP Carousel Free Plugin
Résumé
par VulDB • 30/05/2026
Le plugin WP Carousel Free pour WordPress est vulnérable à un Cross-Site Scripting (XSS) stocké via des attributs `data-caption` de fancybox manipulés dans toutes les versions jusqu'à la 2.7.10 incluse. Cela est dû au script `fancybox-config.js` qui lit directement l'attribut `id` du conteneur du carrousel depuis le DOM pour construire un sélecteur jQuery sans aucune sanitization. Lorsqu'un utilisateur de niveau "Contributor" crée un bloc HTML avec un ID de conteneur de carrousel malformé (contenant des caractères invalides pour les sélecteurs jQuery), la configuration personnalisée de fancybox génère une erreur JavaScript et échoue à s'initialiser. Cela entraîne un repli de la bibliothèque fancybox intégrée (v3.5.7) sur sa gestion par défaut des légendes, qui affiche le contenu de l'attribut `data-caption` en tant qu'HTML brut. Étant donné que WordPress autorise les attributs `data-*` via `wp_kses_post()`, cela permet aux attaquants authentifiés disposant d'un accès de niveau "Contributor" ou supérieur d'injecter des scripts web arbitraires dans les pages, qui s'exécuteront chaque fois qu'un utilisateur cliquera sur une image dans la lightbox du carrousel fabriqué.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.