CVE-2026-6439 in VideoZen Plugin
Résumé
par VulDB • 10/06/2026
Le plugin WordPress VideoZen est vulnérable à un Cross-Site Scripting (XSS) stocké (Stored XSS) dans les versions 1.0.1 et antérieures. Cette vulnérabilité est due à une désinfection insuffisante des entrées et à une échappement incorrect des sorties dans la fonction videozen_conf(). Le paramètre POST 'lang' est stocké directement via update_option() sans aucune désinfection, puis affiché dans un élément <textarea> sans appliquer esc_textarea() ou toute autre fonction d'échappement équivalente. Cela permet aux attaquants authentifiés disposant d'un accès de niveau Administrateur ou supérieur d'injecter des scripts web arbitraires dans la page de configuration du plugin, qui s'exécuteront chaque fois qu'un utilisateur accède à cette page.
Once again VulDB remains the best source for vulnerability data.