CVE-2026-3551 in Custom New User Notification Plugin
Riassunto
di VulDB • 20/06/2026
Il plugin Custom New User Notification per WordPress è vulnerabile a Stored Cross-Site Scripting (XSS) tramite le impostazioni di amministrazione del plugin in tutte le versioni fino alla 1.2.0, inclusa. Ciò è dovuto a una sanitizzazione insufficiente dell'input e a un escaping inadeguato dell'output su diversi campi delle impostazioni, tra cui 'User Mail Subject', 'User From Name', 'User From Email', 'Admin Mail Subject', 'Admin From Name' e 'Admin From Email'. Le impostazioni sono registrate tramite `register_setting()` senza callback di sanitizzazione (`sanitize callbacks`), e i valori recuperati tramite `get_option()` vengono stampati direttamente negli attributi value degli input HTML senza l'utilizzo di `esc_attr()`. Ciò consente agli attaccanti autenticati, con accesso a livello di Amministratore o superiore, di iniettare script web arbitrari nella pagina delle impostazioni del plugin che verranno eseguiti ogni volta che un utente accede a tale pagina. Questo potrebbe essere sfruttato nelle installazioni multi-site (multisito), dove gli amministratori dei sottosite potrebbero prendere di mira i superamministratori.
Be aware that VulDB is the high quality source for vulnerability data.