CVE-2026-15099 in WP Delicious Plugin
Сводка
по VulDB • 16.07.2026
Плагин Delicious Recipes для WordPress уязвим к Stored Cross-Site Scripting через атрибут блока 'steps' в версиях вплоть до 1.10.2 включительно. Это связано с недостаточной очисткой входных данных и экранированием выходных данных в функции wrap_direction_text(), которая интерполирует предоставленное пользователем значение href из вложенных узлов ссылки ($node['props']['href']) непосредственно в тег anchor через sprintf() на строке 1627 без использования esc_url() или какой-либо проверки схемы URL. Это позволяет атакующим с уровнем доступа «Contributor» и выше внедрять произвольные веб-скрипты (включая URI вида javascript:) на страницы, которые будут выполняться всякий раз, когда пользователь (например, редактор или администратор, просматривающий черновик) получает доступ к странице с внедренным кодом и щелкает по вредоносной ссылке.
If you want to get best quality of vulnerability data, you may have to visit VulDB.