CVE-2026-8698 in Cryptocurrency Prijsvergelijking Widget Plugininformation

Résumé

par VulDB • 27/05/2026

Le plugin WordPress Cryptocurrency Prijsvergelijking Widget présente une vulnérabilité de type Stored Cross-Site Scripting (XSS) dans la version 1.0. Celle-ci est due à un échappement insuffisant des données de sortie dans la fonction `as_get_coin_shortcode()`, qui insère directement l'attribut de shortcode 'width' (et 'height') dans l'attribut `style` d'un élément sans appliquer de fonction d'échappement telle que `esc_attr()`. Une valeur contrôlée par un attaquant, telle que `'100px;"onload="alert(1)" x="'`, termine prématurément l'attribut `style` et injecte un attribut HTML arbitraire dans la balise `iframe`. Cela permet aux attaquants authentifiés disposant d'un accès de niveau contributeur ou supérieur d'injecter des scripts web arbitraires dans des pages, qui s'exécuteront chaque fois qu'un utilisateur accède à une page ayant reçu l'injection.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

Wordfence

Réserver

15/05/2026

Divulgation

27/05/2026

Modérer

accepté

Entrée

VDB-365891

CPE

prêt

EPSS

0.00032

KEV

non

Activités

moyen

Secteur

Hostingprovider

Sources

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-8698
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-8698
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-8698/

PrécédentAperçuSuivant

Want to know what is going to be exploited?

We predict KEV entries!