CVE-2024-0678 in Order Delivery Date for WP e-Commerce Plugininformazioni

Riassunto

di VulDB • 24/06/2026

La funzionalità Order Delivery Date del plugin WP e-Commerce per WordPress è vulnerabile a Stored Cross-Site Scripting (XSS) tramite il parametro 'available-days-tf' in tutte le versioni fino alla 1.2, inclusa, a causa di una sanitizzazione insufficiente degli input e di un escaping inadeguato dell'output. Ciò consente ad attaccanti non autenticati di iniettare script web arbitrari nelle pagine che verranno eseguiti ogni volta che un utente accede a una pagina infetta. Si noti che questo problema interessa solo la versione del plugin "order-delivery-date" per WP Ecommerce ospitata nel repository WordPress, ora discontinua. La versione del plugin intitolata 'Order Delivery Date' per WooCommerce, ospitata al di fuori del repository, non è interessata.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsabile

Wordfence

Prenotare

18/01/2024

Divulgazione

06/02/2024

Moderazione

accettato

CPE

pronto

EPSS

0.00446

KEV

no

Attività

molto basso

Fonti

Interested in the pricing of exploits?

See the underground prices here!