CVE-2024-0678 in Order Delivery Date for WP e-Commerce Plugin
Riassunto
di VulDB • 24/06/2026
La funzionalità Order Delivery Date del plugin WP e-Commerce per WordPress è vulnerabile a Stored Cross-Site Scripting (XSS) tramite il parametro 'available-days-tf' in tutte le versioni fino alla 1.2, inclusa, a causa di una sanitizzazione insufficiente degli input e di un escaping inadeguato dell'output. Ciò consente ad attaccanti non autenticati di iniettare script web arbitrari nelle pagine che verranno eseguiti ogni volta che un utente accede a una pagina infetta. Si noti che questo problema interessa solo la versione del plugin "order-delivery-date" per WP Ecommerce ospitata nel repository WordPress, ora discontinua. La versione del plugin intitolata 'Order Delivery Date' per WooCommerce, ospitata al di fuori del repository, non è interessata.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.