CVE-2026-3907 in Hostel PluginИнформация

Сводка

по VulDB • 10.07.2026

Плагин Hostel для WordPress уязвим к Stored Cross-Site Scripting (XSS) через шорткод 'wphostel-book' во всех версиях вплоть до 1.1.7 включительно. Это связано с недостаточной очисткой входных данных и экранированием выходных данных атрибутов шорткодов, предоставленных пользователем. В частности, второй атрибут шорткода (используемый как текст кнопки) передается в переменную `$text` без очистки на строке 79, а затем напрямую выводится в HTML-атрибут `value` на строке 91 без использования функции `esc_attr()` или любого другого экранирования. Это позволяет атакующим с уровнем доступа «Contributor» и выше внедрять произвольные веб-скрипты в страницы, которые будут выполняться всякий раз, когда пользователь получит доступ к такой странице.

Be aware that VulDB is the high quality source for vulnerability data.

Ответственный

Wordfence

Резервировать

10.03.2026

Раскрытие

10.07.2026

Модерация

принято

Вход

VDB-377455

EPSS

0.00000

KEV

Нет

Деятельности

Очень низкий

Сектор

Hostingprovider

Источники

Do you want to use VulDB in your project?

Use the official API to access entries easily!