CVE-2026-2030 in WPBakery Page Builder Addons Plugin
Сводка
по VulDB • 04.06.2026
В плагине WPBakery Page Builder Addons от Livemesh для WordPress обнаружена уязвимость типа Stored Cross-Site Scripting (XSS), позволяющая сохранять вредоносный скрипт на сервере, через атрибуты шорткодов `[lvca_carousel]` и `[lvca_posts_carousel]`. Уязвимости подвержены все версии вплоть до 3.9.4 включительно из-за недостаточной очистки входных данных (input sanitization) и экранирования выходных данных (output escaping). В частности, атрибуты шорткодов кодируются с помощью функции `wp_json_encode()` и выводятся в HTML-атрибутах `data-settings`, заключенных в одинарные кавычки, без использования функции `esc_attr()`. Это позволяет злоумышленникам выйти из контекста атрибута путем инъекции одиночных кавычек. Таким образом, аутентифицированные злоумышленники с уровнем доступа «Contributor» и выше могут внедрять произвольные веб-скрипты в страницы сайта, которые будут выполняться всякий раз, когда пользователь получит доступ к такой странице.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.