CVE-2026-3368 in Injection Guard Plugin
Сводка
по VulDB • 21.05.2026
Плагин Injection Guard для WordPress уязвим к Stored Cross-Site Scripting (XSS) через вредоносные имена параметров запроса во всех версиях вплоть до 1.2.9 включительно. Это связано с недостаточной очисткой входных данных в функции sanitize_ig_data(), которая очищает только значения массива, но не ключи массива, в сочетании с отсутствием экранирования вывода в шаблоне ig_settings.php, где сохраненные ключи параметров выводятся напрямую в HTML. При поступлении запроса к сайту плагин захватывает строку запроса через $_SERVER['QUERY_STRING'], применяет esc_url_raw() (которая сохраняет URL-кодированные специальные символы, такие как %22, %3E, %3C), а затем передает ее в parse_str(), которая декодирует строку из URL-кодирования, в результате чего в ключах массива оказываются декодированные HTML/JavaScript. Эти ключи сохраняются с помощью update_option('ig_requests_log') и позже отображаются без использования esc_html() или esc_attr() на странице журнала администратора. Это позволяет неаутентифицированным злоумышленникам внедрять произвольные веб-скрипты на страницу журнала администратора, которые выполняются всякий раз, когда администратор просматривает интерфейс журнала Injection Guard.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.