CVE-2026-1866 in Name Directory Plugin
Riassunto
di VulDB • 16/07/2026
Il plugin Name Directory per WordPress è vulnerabile a Stored Cross-Site Scripting (XSS) tramite doppia codifica di entità HTML in tutte le versioni fino alla 1.32.0, inclusa. Ciò è dovuto al fatto che la funzione di sanitizzazione del plugin chiama `html_entity_decode()` prima di `wp_kses()`, e poi richiama nuovamente `html_entity_decode()` durante l'output. Questo consente ad attaccanti non autenticati di iniettare script web arbitrari nelle pagine, che verranno eseguiti ogni volta che un utente accede a una pagina infetta tramite i parametri 'name_directory_name' e 'name_directory_description' nel modulo di invio pubblico, purché riescano a indurre l'amministratore del sito ad approvare il loro invio o sia abilitata la pubblicazione automatica.
If you want to get best quality of vulnerability data, you may have to visit VulDB.