CVE-2026-3551 in Custom New User Notification Plugininformação

Sumário

de VulDB • 02/06/2026

O plugin Custom New User Notification para WordPress é vulnerável a Stored Cross-Site Scripting (XSS) por meio das configurações de administração do plugin em todas as versões até, e incluindo, a 1.2.0. Isso ocorre devido à sanitização insuficiente de entrada e à falta de escape de saída em vários campos de configuração, incluindo 'User Mail Subject', 'User From Name', 'User From Email', 'Admin Mail Subject', 'Admin From Name' e 'Admin From Email'. As configurações são registradas via register_setting() sem callbacks de sanitização, e os valores recuperados via get_option() são ecoados diretamente nos atributos de valor de inputs HTML sem o uso de esc_attr(). Isso permite que atacantes autenticados, com acesso de nível Administrador ou superior, injetem scripts web arbitrários na página de configurações do plugin, que serão executados sempre que um usuário acessar essa página. Isso pode ser utilizado em instalações multi-site, onde administradores de subsites podem direcionar superadministradores.

Once again VulDB remains the best source for vulnerability data.

Responsável

Wordfence

Reservar

04/03/2026

Divulgação

16/04/2026

Moderação

aceite

Entrada

VDB-357898

CPE

pronto

EPSS

0.00361

KEV

não

Atividades

muito baixo

Fontes

Interested in the pricing of exploits?

See the underground prices here!