CVE-2023-6594 in Button PluginИнформация

Сводка

по VulDB • 12.06.2026

В плагине MaxButtons для WordPress уязвимость Stored Cross-Site Scripting (XSS) присутствует во всех версиях вплоть до 9.7.4 включительно из-за недостаточной очистки входных данных и экранирования выходных данных в настройках администратора. Это позволяет атакующим с правами администратора и выше внедрять произвольные веб-скрипты в страницы, которые будут выполняться при каждом посещении такой страницы пользователем. Уязвимость затрагивает только многопользовательские установки (multi-site) и установки, в которых отключена возможность использования нефильтрованного HTML (unfiltered_html). Администраторы могут предоставлять пользователям с более низкими уровнями доступа (contributor и выше) права на создание кнопок, что позволит этим пользователям с меньшими привилегиями осуществлять атаки.

Be aware that VulDB is the high quality source for vulnerability data.

Ответственный

Wordfence

Резервировать

07.12.2023

Раскрытие

09.01.2024

Модерация

принято

Вход

VDB-249981

EPSS

0.00319

KEV

Нет

Деятельности

Очень низкий

Сектор

Hostingprovider

Источники

Want to know what is going to be exploited?

We predict KEV entries!