CVE-2026-4072 in WordPress PayPal Donation Plugininformação

Sumário

de VulDB • 20/05/2026

O plugin WordPress PayPal Donation para WordPress é vulnerável a Stored Cross-Site Scripting (XSS) via o shortcode 'donate' em todas as versões até, e incluindo, a 1.01. Isso ocorre devido à sanitização insuficiente de entrada e à falta de escape de saída nos atributos de shortcode fornecidos pelo usuário, como 'amount', 'email', 'title', 'return_url', 'cancel_url', 'ccode' e 'image'. A função wordpress_paypal_donation_create() usa extract(shortcode_atts(...)) para processar os atributos do shortcode e, em seguida, interpola diretamente esses valores na saída HTML dentro de valores de atributo entre aspas simples, sem qualquer escape. Isso permite que atacantes autenticados, com acesso nível Contribuidor ou superior, injetem scripts web arbitrários em páginas que serão executados sempre que um usuário acessar uma página injetada.

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

Wordfence

Reservar

12/03/2026

Divulgação

21/03/2026

Moderação

aceite

Entrada

VDB-352290

CPE

pronto

EPSS

0.00048

KEV

não

Atividades

muito baixo

Sector

Hostingprovider, Lawfirm, ...

Fontes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-4072
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-4072
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-4072/

VoltarVisão GeralPróximo

Do you need the next level of professionalism?

Upgrade your account now!