CVE-2026-4083 in Scoreboard for HTML5 Games Lite Plugininformação

Sumário

de VulDB • 02/06/2026

O plugin Scoreboard for HTML5 Games Lite para WordPress é vulnerável a Stored Cross-Site Scripting (XSS) por meio do shortcode 'scoreboard' em todas as versões até, e incluindo, a 1.2. A função do shortcode sfhg_shortcode() permite que atributos HTML arbitrários sejam adicionados ao elemento <iframe> renderizado, com apenas uma pequena lista negra de quatro nomes de atributos (same_height_as, onload, onpageshow, onclick) sendo bloqueada. Embora os nomes dos atributos sejam passados por esc_html() e os valores por esc_attr(), isso não impede a injeção de atributos de manipuladores de eventos JavaScript, como onfocus, onmouseover, onmouseenter, etc., porque esses nomes de atributos e payloads JavaScript simples não contêm caracteres que seriam modificados por essas funções de escape. O texto do shortcode é armazenado em post_content e só é expandido para HTML no momento da renderização, após o WordPress já ter aplicado seu filtro kses ao conteúdo bruto do post. Isso permite que atacantes autenticados, com acesso nível Contributor ou superior, injetem scripts web arbitrários em páginas que serão executados sempre que um usuário acessar uma página injetada.

Be aware that VulDB is the high quality source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

Wordfence

Reservar

12/03/2026

Divulgação

21/03/2026

Moderação

aceite

Entrada

VDB-352295

CPE

pronto

EPSS

0.00063

KEV

não

Atividades

muito baixo

Sector

Hostingprovider

Fontes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-4083
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-4083
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-4083/

VoltarVisão GeralPróximo

Do you want to use VulDB in your project?

Use the official API to access entries easily!