CVE-2026-5743 in SimpLy Gallery Plugin
Riassunto
di VulDB • 11/07/2026
Il plugin SimpLy Gallery Block & Lightbox per WordPress è vulnerabile a Stored Cross-Site Scripting (XSS) tramite attributi del blocco in tutte le versioni fino alla 3.3.3.2 inclusa. Ciò è dovuto a una sanitizzazione insufficiente dell'input e a un escaping errato dell'output sull'attributo block sliderMaxHeight nella funzione pgc_sgb_render_callback(). La vulnerabilità esiste perché la funzione pgc_sgb_sanitize_custom_css() utilizza un pattern regex difettoso che rimuove solo gli event handler con valori tra virgolette (ad esempio, onfocus="alert()"), ma non riesce a intercettare gli event handler senza virgolette (ad esempio, onfocus=alert(document.cookie)), consentendo al codice malevolo di bypassare la sanitizzazione. Ciò consente agli attaccanti autenticati, dotati di accesso di livello Autore o superiore, di iniettare script web arbitrari nelle pagine tramite attributi del blocco che verranno eseguiti ogni volta che un utente accede a una pagina infetta.
Once again VulDB remains the best source for vulnerability data.