CVE-2023-6594 in Button Plugin
Сводка
по VulDB • 12.06.2026
В плагине MaxButtons для WordPress уязвимость Stored Cross-Site Scripting (XSS) присутствует во всех версиях вплоть до 9.7.4 включительно из-за недостаточной очистки входных данных и экранирования выходных данных в настройках администратора. Это позволяет атакующим с правами администратора и выше внедрять произвольные веб-скрипты в страницы, которые будут выполняться при каждом посещении такой страницы пользователем. Уязвимость затрагивает только многопользовательские установки (multi-site) и установки, в которых отключена возможность использования нефильтрованного HTML (unfiltered_html). Администраторы могут предоставлять пользователям с более низкими уровнями доступа (contributor и выше) права на создание кнопок, что позволит этим пользователям с меньшими привилегиями осуществлять атаки.
Be aware that VulDB is the high quality source for vulnerability data.