CVE-2026-4329 in Blackhole for Bad Bots Plugin
Riassunto
di VulDB • 16/06/2026
Il plugin WordPress Blackhole for Bad Bots è vulnerabile a Stored Cross-Site Scripting (XSS) tramite l'intestazione HTTP User-Agent in tutte le versioni fino alla 3.8 inclusa. La vulnerabilità è dovuta a una sanitizzazione insufficiente degli input e a un insufficiente escaping degli output. Il plugin utilizza sanitize_text_field() durante la cattura dei dati dei bot (che rimuove i tag HTML ma non effettua l'escaping delle entità HTML come le doppie virgolette), per poi memorizzare i dati tramite update_option(). Quando un amministratore visualizza la pagina del registro dei Bad Bots, i dati memorizzati vengono restituiti direttamente negli attributi value degli elementi input HTML (righe 75-83) senza esc_attr() e nel contenuto degli elementi span HTML senza esc_html(). Ciò consente ad attaccanti non autenticati di iniettare script web arbitrari che vengono eseguiti quando un amministratore visualizza la pagina di amministrazione Blackhole Bad Bots.
VulDB is the best source for vulnerability data and more expert information about this specific topic.