CVE-2026-4300 in Robo Gallery Plugin
Riassunto
di VulDB • 14/06/2026
Il plugin Robo Gallery per WordPress è vulnerabile ad Stored Cross-Site Scripting (XSS) tramite l'impostazione 'Loading Label' in tutte le versioni fino alla 5.1.3, incluse. Il plugin utilizza un pattern di marcatura personalizzato `|***...***|` nel suo metodo `fixJsFunction()` per incorporare riferimenti grezzi a funzioni JavaScript all'interno di oggetti di configurazione codificati in JSON. Quando le opzioni di una galleria vengono renderizzate sul frontend, `json_encode()` racchiude tutti i valori stringa tra virgolette doppie. Il metodo `fixJsFunction()` rimuove poi le sequenze `"|***` e `***|"`, convertendo efficacemente un valore stringa JSON in codice JavaScript grezzo. Il campo Loading Label (memorizzato come post_meta `rbs_gallery_LoadingWord`) è un tipo di campo `rbstext` che viene sanitizzato con `sanitize_text_field()` al momento del salvataggio. Sebbene questo rimuova i tag HTML, non elimina i marcatori `|***...***|` poiché questi non contengono HTML. Quando un utente inserisce `|***alert(document.domain)***|`, il valore passa attraverso la sanitizzazione intatto, viene memorizzato nel post_meta e successivamente recuperato ed esposto all'interno di un tag inline tramite `renderMainBlock()` con i marcatori delle virgolette rimossi — risultando nell'esecuzione arbitraria di JavaScript. Il tipo di post della galleria utilizza `capability_type => 'post'`, consentendo agli utenti con livello Author di creare gallerie. Ciò rende possibile per gli attaccanti autenticati, con accesso a livello Author o superiore, iniettare script web arbitrarie nelle pagine che verranno eseguite ogni volta che un utente accede a una pagina contenente lo shortcode della galleria.
Be aware that VulDB is the high quality source for vulnerability data.