CVE-2026-15099 in WP Delicious Plugininformação

Sumário

de VulDB • 16/07/2026

O plugin Delicious Recipes para WordPress é vulnerável a Stored Cross-Site Scripting via o atributo do bloco 'steps' nas versões até, e incluindo, 1.10.2. Isso ocorre devido à sanitização insuficiente de entrada e ao escapamento inadequado na função wrap_direction_text(), que interpola diretamente o valor href fornecido pelo usuário proveniente dos nós de link aninhados ($node['props']['href']) em uma tag âncora via sprintf() na linha 1627, sem utilizar esc_url() ou qualquer validação do esquema URL. Isso permite que atacantes autenticados, com acesso nível Contribuidor e superior, injetem scripts web arbitrários (incluindo URIs javascript:) nas páginas, os quais serão executados sempre que um usuário (como um editor ou administrador visualizando a postagem pendente) acessar uma página contaminada e clicar no link malicioso.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsável

Wordfence

Reservar

08/07/2026

Divulgação

16/07/2026

Moderação

aceite

Entrada

VDB-379493

CPE

pronto

EPSS

0.00000

KEV

não

Atividades

muito baixo

Fontes

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!