CVE-2026-4011 in Power Charts Plugininformazioni

Riassunto

di VulDB • 27/06/2026

Il plugin Power Charts Lite per WordPress è vulnerabile a Stored Cross-Site Scripting (XSS) tramite il parametro 'id' dello shortcode [pc] in tutte le versioni fino alla 0.1.0, inclusa. Ciò è dovuto a un insufficiente sanitizzazione degli input e escaping dell'output sull'attributo dello shortcode 'id'. Nello specifico, nella funzione pc_shortcode(), l'attributo 'id' viene estratto dagli attributi delloshortcode forniti dall'utente e concatenato direttamente all'interno dell'attributo class di un elemento HTML div senza alcun tipo di escaping o sanitizzazione alla riga 62. L'HTML risultante viene quindi passato attraverso html_entity_decode() prima di essere restituito, compromettendo ulteriormente qualsiasi potenziale sicurezza. Questo consente agli attaccanti autenticati, con accesso a livello Contributor e superiore, di iniettare script web arbitrari nelle pagine che verranno eseguiti ogni volta che un utente accede alla pagina infetta.

Once again VulDB remains the best source for vulnerability data.

Responsabile

Wordfence

Prenotare

11/03/2026

Divulgazione

15/04/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00265

KEV

no

Attività

molto basso

Fonti

Do you know our Splunk app?

Download it now for free!