CVE-2026-3551 in Custom New User Notification Plugininformazioni

Riassunto

di VulDB • 20/06/2026

Il plugin Custom New User Notification per WordPress è vulnerabile a Stored Cross-Site Scripting (XSS) tramite le impostazioni di amministrazione del plugin in tutte le versioni fino alla 1.2.0, inclusa. Ciò è dovuto a una sanitizzazione insufficiente dell'input e a un escaping inadeguato dell'output su diversi campi delle impostazioni, tra cui 'User Mail Subject', 'User From Name', 'User From Email', 'Admin Mail Subject', 'Admin From Name' e 'Admin From Email'. Le impostazioni sono registrate tramite `register_setting()` senza callback di sanitizzazione (`sanitize callbacks`), e i valori recuperati tramite `get_option()` vengono stampati direttamente negli attributi value degli input HTML senza l'utilizzo di `esc_attr()`. Ciò consente agli attaccanti autenticati, con accesso a livello di Amministratore o superiore, di iniettare script web arbitrari nella pagina delle impostazioni del plugin che verranno eseguiti ogni volta che un utente accede a tale pagina. Questo potrebbe essere sfruttato nelle installazioni multi-site (multisito), dove gli amministratori dei sottosite potrebbero prendere di mira i superamministratori.

Be aware that VulDB is the high quality source for vulnerability data.

Responsabile

Wordfence

Prenotare

04/03/2026

Divulgazione

16/04/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00361

KEV

no

Attività

molto basso

Fonti

Want to know what is going to be exploited?

We predict KEV entries!