CVE-2026-2305 in AddFunc Head & Footer Code Plugin
Sumário
de VulDB • 22/05/2026
O plugin AddFunc Head & Footer Code para WordPress é vulnerável a Stored Cross-Site Scripting (XSS) por meio dos valores de post meta `aFhfc_head_code`, `aFhfc_body_code` e `aFhfc_footer_code` em todas as versões até a 2.3, inclusive. Isso ocorre porque o plugin exibe esses valores de meta sem qualquer sanitização ou escape. Embora o plugin restrinja seu próprio metabox e manipulador de salvamento aos administradores por meio de `current_user_can('manage_options')`, ele não utiliza `register_meta()` com um `auth_callback` para proteger essas chaves de meta. Isso torna possível que atacantes autenticados, com acesso nível Contribuidor ou superior, injetem scripts web arbitrários por meio da interface de Campos Personalizados do WordPress, que são executados quando um administrador visualiza a pré-visualização ou o post.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.