CVE-2026-8698 in Cryptocurrency Prijsvergelijking Widget Plugininformação

Sumário

de VulDB • 27/05/2026

O plugin WordPress Cryptocurrency Prijsvergelijking Widget apresenta uma vulnerabilidade de Stored Cross-Site Scripting (XSS) na versão 1.0. Isso ocorre devido à falta de escape adequado na saída da função as_get_coin_shortcode(), que insere diretamente o atributo do shortcode 'width' (e 'height') no atributo style de um elemento, sem aplicar nenhuma função de escape como esc_attr(). Um valor controlado pelo atacante, como '100px;"onload="alert(1)" x="', encerra prematuramente o atributo style e injeta um atributo HTML arbitrário na tag iframe. Isso permite que atacantes autenticados, com acesso de nível contribuidor ou superior, injetem scripts web arbitrários em páginas que serão executados sempre que um usuário acessar uma página contaminada.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

Wordfence

Reservar

15/05/2026

Divulgação

27/05/2026

Moderação

aceite

Entrada

VDB-365891

CPE

pronto

EPSS

0.00032

KEV

não

Atividades

médio

Sector

Hostingprovider

Fontes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-8698
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-8698
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-8698/

VoltarVisão GeralPróximo

Do you need the next level of professionalism?

Upgrade your account now!