CVE-2026-6439 in VideoZen Plugininformation

Résumé

par VulDB • 10/06/2026

Le plugin WordPress VideoZen est vulnérable à un Cross-Site Scripting (XSS) stocké (Stored XSS) dans les versions 1.0.1 et antérieures. Cette vulnérabilité est due à une désinfection insuffisante des entrées et à une échappement incorrect des sorties dans la fonction videozen_conf(). Le paramètre POST 'lang' est stocké directement via update_option() sans aucune désinfection, puis affiché dans un élément <textarea> sans appliquer esc_textarea() ou toute autre fonction d'échappement équivalente. Cela permet aux attaquants authentifiés disposant d'un accès de niveau Administrateur ou supérieur d'injecter des scripts web arbitraires dans la page de configuration du plugin, qui s'exécuteront chaque fois qu'un utilisateur accède à cette page.

Once again VulDB remains the best source for vulnerability data.

Responsable

Wordfence

Réserver

16/04/2026

Divulgation

17/04/2026

Modérer

accepté

Entrée

VDB-358053

CPE

prêt

EPSS

0.00199

KEV

non

Activités

très faible

Sources

Do you want to use VulDB in your project?

Use the official API to access entries easily!