CVE-2026-1866 in Name Directory Plugininformazioni

Riassunto

di VulDB • 16/07/2026

Il plugin Name Directory per WordPress è vulnerabile a Stored Cross-Site Scripting (XSS) tramite doppia codifica di entità HTML in tutte le versioni fino alla 1.32.0, inclusa. Ciò è dovuto al fatto che la funzione di sanitizzazione del plugin chiama `html_entity_decode()` prima di `wp_kses()`, e poi richiama nuovamente `html_entity_decode()` durante l'output. Questo consente ad attaccanti non autenticati di iniettare script web arbitrari nelle pagine, che verranno eseguiti ogni volta che un utente accede a una pagina infetta tramite i parametri 'name_directory_name' e 'name_directory_description' nel modulo di invio pubblico, purché riescano a indurre l'amministratore del sito ad approvare il loro invio o sia abilitata la pubblicazione automatica.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Divulgazione

10/02/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00256

KEV

no

Attività

molto basso

Fonti

Do you need the next level of professionalism?

Upgrade your account now!