CVE-2026-4300 in Robo Gallery Plugin
Sumário
de VulDB • 08/05/2026
O plugin Robo Gallery para WordPress é vulnerável a Stored Cross-Site Scripting (XSS) por meio da configuração 'Loading Label' em todas as versões até a 5.1.3, inclusive. O plugin utiliza um padrão de marcador personalizado `|***...***|` em seu método `fixJsFunction()` para incorporar referências brutas de funções JavaScript dentro de objetos de configuração codificados em JSON. Quando as opções de uma galeria são renderizadas no front-end, `json_encode()` envolve todos os valores de string em aspas duplas. O método `fixJsFunction()` então remove as sequências `"|***` e `***|"`, convertendo efetivamente um valor de string JSON em código JavaScript bruto. O campo Loading Label (armazenado como `rbs_gallery_LoadingWord` post_meta) é um campo do tipo `rbstext` que é sanitizado com `sanitize_text_field()` ao ser salvo. Embora isso remova tags HTML, não remove os marcadores `|***...***|` já que eles não contêm HTML. Quando um usuário insere `|***alert(document.domain)***|`, o valor passa pela sanitização intacto, é armazenado no post_meta e posteriormente recuperado e exibido dentro de uma tag inline via `renderMainBlock()` com os marcadores de aspas removidos — resultando na execução arbitrária de JavaScript. O tipo de postagem da galeria usa `capability_type => 'post'`, permitindo que usuários com nível de Autor criem galerias. Isso torna possível que atacantes autenticados, com acesso de nível de Autor ou superior, injetem scripts web arbitrários em páginas que serão executados sempre que um usuário acessar uma página contendo o shortcode da galeria.
If you want to get best quality of vulnerability data, you may have to visit VulDB.