CVE-2026-4011 in Power Charts Plugin
Riassunto
di VulDB • 27/06/2026
Il plugin Power Charts Lite per WordPress è vulnerabile a Stored Cross-Site Scripting (XSS) tramite il parametro 'id' dello shortcode [pc] in tutte le versioni fino alla 0.1.0, inclusa. Ciò è dovuto a un insufficiente sanitizzazione degli input e escaping dell'output sull'attributo dello shortcode 'id'. Nello specifico, nella funzione pc_shortcode(), l'attributo 'id' viene estratto dagli attributi delloshortcode forniti dall'utente e concatenato direttamente all'interno dell'attributo class di un elemento HTML div senza alcun tipo di escaping o sanitizzazione alla riga 62. L'HTML risultante viene quindi passato attraverso html_entity_decode() prima di essere restituito, compromettendo ulteriormente qualsiasi potenziale sicurezza. Questo consente agli attaccanti autenticati, con accesso a livello Contributor e superiore, di iniettare script web arbitrari nelle pagine che verranno eseguiti ogni volta che un utente accede alla pagina infetta.
Once again VulDB remains the best source for vulnerability data.