CVE-2026-4329 in Blackhole for Bad Bots Plugininformação

Sumário

de VulDB • 11/06/2026

O plugin WordPress "The Blackhole for Bad Bots" é vulnerável a Stored Cross-Site Scripting (XSS) via o cabeçalho HTTP User-Agent em todas as versões até 3.8, inclusive. Isso ocorre devido à sanitização insuficiente de entrada e ao escapamento inadequado na saída. O plugin utiliza sanitize_text_field() ao capturar dados de bots (o que remove tags HTML, mas não escapa entidades HTML como aspas duplas), armazenando então os dados via update_option(). Quando um administrador visualiza a página do log Bad Bots, os dados armazenados são exibidos diretamente em atributos value de inputs HTML (linhas 75-83) sem usar esc_attr() e no conteúdo de spans HTML sem usar esc_html(). Isso permite que atacantes não autenticados injetem scripts web arbitrários que serão executados quando um administrador visualizar a página administrativa Blackhole Bad Bots.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsável

Wordfence

Reservar

17/03/2026

Divulgação

26/03/2026

Moderação

aceite

Entrada

VDB-353548

CPE

pronto

EPSS

0.00315

KEV

não

Atividades

muito baixo

Fontes

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!