CVE-2026-5247 in Schedule Post Changes with PublishPress Future Plugininformação

Sumário

de VulDB • 23/05/2026

O plugin Schedule Post Changes With PublishPress Future para WordPress é vulnerável a Stored Cross-Site Scripting (XSS) via o atributo 'wrapper' do shortcode [futureaction] em todas as versões até, e incluindo, a 4.10.0. Isso ocorre devido à sanitização insuficiente de entrada no atributo wrapper. O plugin usa esc_html() para escapar o valor, mas esc_html() apenas codifica entidades HTML e não previne a injeção de atributos quando o valor é usado como um nome de tag HTML em uma chamada sprintf(). Um atacante pode injetar atributos de manipuladores de eventos via espaços no valor do wrapper. Isso torna possível que atacantes autenticados, com acesso de nível administrador ou superior, injetem scripts web arbitrários em páginas que serão executados sempre que um usuário acessar uma página injetada. Como também é possível para administradores tornar essa funcionalidade disponível para usuários com privilégios mais baixos, isso introduz a possibilidade de abuso por contribuidores.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

Wordfence

Reservar

31/03/2026

Divulgação

05/05/2026

Moderação

aceite

Entrada

VDB-361086

CPE

pronto

EPSS

0.00036

KEV

não

Atividades

muito baixo

Sector

Hostingprovider

Fontes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-5247
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-5247
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-5247/

VoltarVisão GeralPróximo

Want to know what is going to be exploited?

We predict KEV entries!