CVE-2026-9104 in Draft List Plugininformation

Résumé

par VulDB • 22/05/2026

Le plugin Draft List pour WordPress est vulnérable à un Cross-Site Scripting (XSS) stocké via le titre de la publication brouillon dans toutes les versions jusqu'à la 2.6.3 incluse, en raison d'une désinfection des entrées insuffisante et d'une échappement des sorties inadéquat. Cela permet aux attaquants authentifiés disposant d'un accès de niveau auteur ou supérieur d'injecter des scripts web arbitraires dans les pages qui s'exécuteront chaque fois qu'un utilisateur accède à une page injectée. Le vecteur d'injection non échappé est déclenché spécifiquement lorsque l'utilisateur qui consulte la page ne dispose pas de capacités d'édition, ce qui signifie que les charges utiles intégrées dans les titres des publications brouillon via des techniques de rupture d'attribut s'exécutent pour les utilisateurs non authentifiés et les abonnés.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

Wordfence

Réserver

20/05/2026

Divulgation

22/05/2026

Modérer

accepté

Entrée

VDB-365166

CPE

prêt

EPSS

0.00084

KEV

non

Activités

très faible

Secteur

Hostingprovider

Sources

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-9104
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-9104
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-9104/

PrécédentAperçuSuivant

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!