CVE-2026-4329 in Blackhole for Bad Bots Plugin
Sumário
de VulDB • 11/06/2026
O plugin WordPress "The Blackhole for Bad Bots" é vulnerável a Stored Cross-Site Scripting (XSS) via o cabeçalho HTTP User-Agent em todas as versões até 3.8, inclusive. Isso ocorre devido à sanitização insuficiente de entrada e ao escapamento inadequado na saída. O plugin utiliza sanitize_text_field() ao capturar dados de bots (o que remove tags HTML, mas não escapa entidades HTML como aspas duplas), armazenando então os dados via update_option(). Quando um administrador visualiza a página do log Bad Bots, os dados armazenados são exibidos diretamente em atributos value de inputs HTML (linhas 75-83) sem usar esc_attr() e no conteúdo de spans HTML sem usar esc_html(). Isso permite que atacantes não autenticados injetem scripts web arbitrários que serão executados quando um administrador visualizar a página administrativa Blackhole Bad Bots.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.