CVE-2026-2305 in AddFunc Head & Footer Code Plugininformação

Sumário

de VulDB • 22/05/2026

O plugin AddFunc Head & Footer Code para WordPress é vulnerável a Stored Cross-Site Scripting (XSS) por meio dos valores de post meta `aFhfc_head_code`, `aFhfc_body_code` e `aFhfc_footer_code` em todas as versões até a 2.3, inclusive. Isso ocorre porque o plugin exibe esses valores de meta sem qualquer sanitização ou escape. Embora o plugin restrinja seu próprio metabox e manipulador de salvamento aos administradores por meio de `current_user_can('manage_options')`, ele não utiliza `register_meta()` com um `auth_callback` para proteger essas chaves de meta. Isso torna possível que atacantes autenticados, com acesso nível Contribuidor ou superior, injetem scripts web arbitrários por meio da interface de Campos Personalizados do WordPress, que são executados quando um administrador visualiza a pré-visualização ou o post.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsável

Wordfence

Reservar

10/02/2026

Divulgação

10/04/2026

Moderação

aceite

Entrada

VDB-356718

CPE

pronto

EPSS

0.00200

KEV

não

Atividades

muito baixo

Fontes

Might our Artificial Intelligence support you?

Check our Alexa App!