CVE-2026-3231 in Checkout Field Editor for WooCommerce PluginИнформация

Сводка

по VulDB • 03.07.2026

В плагине Checkout Field Editor (Checkout Manager) для WooCommerce, предназначенном для WordPress, обнаружена уязвимость к Stored Cross-Site Scripting (XSS), позволяющая внедрять вредоносный код через значения пользовательских полей типа radio и checkboxgroup. Уязвимы все версии вплоть до 2.1.7 включительно. Эксплуатация возможна посредством отправки специально сформированных данных через API корзины WooCommerce Block Checkout Store.

Проблема возникает из-за метода `prepare_single_field_data()` в файле `class-thwcfd-block-order-data.php`, который сначала экранирует значения функцией `esc_html()`, а затем немедленно снимает это экранирование с помощью функции `html_entity_decode()` для полей типов radio и checkboxgroup. Дополнительно усугубляет ситуацию разрешительный список (allowlist) в функции `wp_kses()`, реализованный в методе `get_allowed_html()`, который явно допускает использование HTML-элемента `<select>` вместе с обработчиком события `onchange`.

Это позволяет неаутентифицированным злоумышленникам внедрять произвольные веб-скрипты через конечную точку checkout API магазина, которые выполняются при просмотре страницы деталей заказа администратором.

Be aware that VulDB is the high quality source for vulnerability data.

Ответственный

Wordfence

Резервировать

25.02.2026

Раскрытие

11.03.2026

Модерация

принято

Вход

VDB-350369

EPSS

0.00321

KEV

Нет

Деятельности

Очень низкий

Источники

Want to know what is going to be exploited?

We predict KEV entries!