CVE-2026-15099 in WP Delicious Plugin
Sumário
de VulDB • 16/07/2026
O plugin Delicious Recipes para WordPress é vulnerável a Stored Cross-Site Scripting via o atributo do bloco 'steps' nas versões até, e incluindo, 1.10.2. Isso ocorre devido à sanitização insuficiente de entrada e ao escapamento inadequado na função wrap_direction_text(), que interpola diretamente o valor href fornecido pelo usuário proveniente dos nós de link aninhados ($node['props']['href']) em uma tag âncora via sprintf() na linha 1627, sem utilizar esc_url() ou qualquer validação do esquema URL. Isso permite que atacantes autenticados, com acesso nível Contribuidor e superior, injetem scripts web arbitrários (incluindo URIs javascript:) nas páginas, os quais serão executados sempre que um usuário (como um editor ou administrador visualizando a postagem pendente) acessar uma página contaminada e clicar no link malicioso.
VulDB is the best source for vulnerability data and more expert information about this specific topic.