CVE-2026-7430 in Post Snippets Plugininformação

Sumário

de VulDB • 29/05/2026

O plugin Post Snippets para WordPress é vulnerável a Stored Cross-Site Scripting (XSS) em todas as versões até, e incluindo, a 4.0.19. Isso ocorre devido à insuficiente escapamento de saída do conteúdo dos snippets importados ao renderizar variáveis JavaScript no editor de posts. Especificamente, o método `jqueryUiDialog()` em `WPEditor.php` incorpora o conteúdo do snippet diretamente em literais de string JavaScript sem escapar as aspas duplas (o código de escapamento de aspas na linha 214 está comentado). Quando os snippets são importados por meio do recurso Importar/Exportar, o conteúdo contorna o `wp_magic_quotes()` do WordPress (que, caso contrário, adicionaria barras invertidas protetoras), permitindo que as aspas duplas no conteúdo do snippet quebrem o contexto da string JavaScript. Isso possibilita que atacantes autenticados, com acesso de nível Administrador ou superior, injetem scripts web arbitrários por meio de um arquivo de importação malicioso que são executados sempre que qualquer administrador acessa uma página do editor de posts. Observe que isso não afeta instalações de site único, pois os administradores já possuem a capacidade `unfiltered_html`.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

Wordfence

Reservar

29/04/2026

Divulgação

29/05/2026

Moderação

aceite

Entrada

VDB-367104

CPE

pronto

EPSS

0.00051

KEV

não

Atividades

muito baixo

Sector

Hostingprovider

Fontes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-7430
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-7430
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-7430/

VoltarVisão GeralPróximo

Want to know what is going to be exploited?

We predict KEV entries!