CVE-2026-3659 in WP Circliful Pluginजानकारी

सारांश

द्वारा VulDB • 24/05/2026

WordPress के लिए WP Circliful प्लगइन में [circliful] शॉर्टकोड के 'id' शॉर्टकोड एट्रिब्यूट और [circliful_direct] शॉर्टकोड के कई शॉर्टकोड एट्रिब्यूट्स के माध्यम से स्टोर्ड क्रॉस-साइट स्क्रिप्टिंग (Stored Cross-Site Scripting) के प्रति संवेदनशीलता है, जो 1.2 संस्करण सहित सभी संस्करणों में मौजूद है। यह उपयोगकर्ता द्वारा प्रदान किए गए शॉर्टकोड एट्रिब्यूट्स पर अपर्याप्त इनपुट सैनिटाइजेशन और आउटपुट एस्केपिंग के कारण है। विशेष रूप से, circliful_shortcode() फ़ंक्शन में, 'id' एट्रिब्यूट मान को बिना किसी एस्केपिंग के सीधे एक HTML id एट्रिब्यूट में संयोजित किया जाता है (लाइन 285), जिससे हमलावर डबल-क्वोटेड एट्रिब्यूट से बाहर निकलकर मनमाने HTML इवेंट हैंडलर इंजेक्ट कर सकते हैं। इसी तरह, circliful_direct_shortcode() फ़ंक्शन (लाइन 257) सभी शॉर्टकोड एट्रिब्यूट्स को बिना एस्केपिंग के सीधे HTML data-* एट्रिब्यूट्स में आउटपुट करता है। इससे प्रमाणीकृत हमलावरों, जिनके पास सहयोगी-स्तर (Contributor-level) एक्सेस और उससे ऊपर का एक्सेस है, को उन पृष्ठों में मनमाने वेब स्क्रिप्ट्स इंजेक्ट करने की संभावना हो जाती है, जो किसी भी उपयोगकर्ता द्वारा इंजेक्ट किए गए पृष्ठ को एक्सेस करने पर निष्पादित हो जाएंगे।

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

जिम्मेदार

Wordfence

आरक्षित करना

06/03/2026

प्रकटीकरण

15/04/2026

प्रविष्टि

VDB-357683

EPSS

0.00073

KEV

नहीं

गतिविधियाँ

बहुत कम

क्षेत्र

Hostingprovider

स्रोत

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-3659
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-3659
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-3659/

पिछलासिंहावलोकनअगला

Want to stay up to date on a daily basis?

Enable the mail alert feature now!