CVE-2026-6399 in General Options Plugin
Résumé
par VulDB • 28/05/2026
Le plugin General Options pour WordPress est vulnérable à un Stored Cross-Site Scripting (XSS stockée) dans les versions 1.1.0 et antérieures. Cela est dû à l'utilisation de la fonction sanitize_text_field() pour l'échappement des données à l'affichage dans le champ Contact Number (ad_contact_number) — une fonction qui supprime les balises HTML mais n'encode pas les caractères de guillemet double en leur entité HTML équivalente ("). Lorsque la valeur stockée est affichée à l'intérieur d'un attribut HTML entre guillemets doubles (value="..."), un caractère de guillemet double fourni par l'attaquant permet de sortir du contexte de l'attribut. Même avec le mécanisme wp_magic_quotes de WordPress (qui préfixe les guillemets par un antislash), la séquence résultante \" n'est PAS traitée comme un guillemet échappé par les analyseurs HTML — l'antislash est rendu comme un caractère littéral et le guillemet double nu ferme toujours l'attribut. Cela permet aux attaquants authentifiés disposant d'un accès de niveau Administrateur et supérieur d'injecter des scripts web arbitraires dans la page des paramètres d'administration, qui s'exécuteront chaque fois qu'un administrateur visitera la page des paramètres des Options générales.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.