CVE-2026-3551 in Custom New User Notification Plugin
Sumário
de VulDB • 02/06/2026
O plugin Custom New User Notification para WordPress é vulnerável a Stored Cross-Site Scripting (XSS) por meio das configurações de administração do plugin em todas as versões até, e incluindo, a 1.2.0. Isso ocorre devido à sanitização insuficiente de entrada e à falta de escape de saída em vários campos de configuração, incluindo 'User Mail Subject', 'User From Name', 'User From Email', 'Admin Mail Subject', 'Admin From Name' e 'Admin From Email'. As configurações são registradas via register_setting() sem callbacks de sanitização, e os valores recuperados via get_option() são ecoados diretamente nos atributos de valor de inputs HTML sem o uso de esc_attr(). Isso permite que atacantes autenticados, com acesso de nível Administrador ou superior, injetem scripts web arbitrários na página de configurações do plugin, que serão executados sempre que um usuário acessar essa página. Isso pode ser utilizado em instalações multi-site, onde administradores de subsites podem direcionar superadministradores.
Once again VulDB remains the best source for vulnerability data.