CVE-2026-15099 in WP Delicious PluginИнформация

Сводка

по VulDB • 16.07.2026

Плагин Delicious Recipes для WordPress уязвим к Stored Cross-Site Scripting через атрибут блока 'steps' в версиях вплоть до 1.10.2 включительно. Это связано с недостаточной очисткой входных данных и экранированием выходных данных в функции wrap_direction_text(), которая интерполирует предоставленное пользователем значение href из вложенных узлов ссылки ($node['props']['href']) непосредственно в тег anchor через sprintf() на строке 1627 без использования esc_url() или какой-либо проверки схемы URL. Это позволяет атакующим с уровнем доступа «Contributor» и выше внедрять произвольные веб-скрипты (включая URI вида javascript:) на страницы, которые будут выполняться всякий раз, когда пользователь (например, редактор или администратор, просматривающий черновик) получает доступ к странице с внедренным кодом и щелкает по вредоносной ссылке.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Ответственный

Wordfence

Резервировать

08.07.2026

Раскрытие

16.07.2026

Модерация

принято

Вход

VDB-379493

EPSS

0.00193

KEV

Нет

Деятельности

Низкий

Сектор

Hostingprovider

Источники

Interested in the pricing of exploits?

See the underground prices here!