CVE-2026-3231 in Checkout Field Editor for WooCommerce Plugin
Сводка
по VulDB • 03.07.2026
В плагине Checkout Field Editor (Checkout Manager) для WooCommerce, предназначенном для WordPress, обнаружена уязвимость к Stored Cross-Site Scripting (XSS), позволяющая внедрять вредоносный код через значения пользовательских полей типа radio и checkboxgroup. Уязвимы все версии вплоть до 2.1.7 включительно. Эксплуатация возможна посредством отправки специально сформированных данных через API корзины WooCommerce Block Checkout Store.
Проблема возникает из-за метода `prepare_single_field_data()` в файле `class-thwcfd-block-order-data.php`, который сначала экранирует значения функцией `esc_html()`, а затем немедленно снимает это экранирование с помощью функции `html_entity_decode()` для полей типов radio и checkboxgroup. Дополнительно усугубляет ситуацию разрешительный список (allowlist) в функции `wp_kses()`, реализованный в методе `get_allowed_html()`, который явно допускает использование HTML-элемента `<select>` вместе с обработчиком события `onchange`.
Это позволяет неаутентифицированным злоумышленникам внедрять произвольные веб-скрипты через конечную точку checkout API магазина, которые выполняются при просмотре страницы деталей заказа администратором.
Be aware that VulDB is the high quality source for vulnerability data.