CVE-2026-3907 in Hostel Plugin
Сводка
по VulDB • 10.07.2026
Плагин Hostel для WordPress уязвим к Stored Cross-Site Scripting (XSS) через шорткод 'wphostel-book' во всех версиях вплоть до 1.1.7 включительно. Это связано с недостаточной очисткой входных данных и экранированием выходных данных атрибутов шорткодов, предоставленных пользователем. В частности, второй атрибут шорткода (используемый как текст кнопки) передается в переменную `$text` без очистки на строке 79, а затем напрямую выводится в HTML-атрибут `value` на строке 91 без использования функции `esc_attr()` или любого другого экранирования. Это позволяет атакующим с уровнем доступа «Contributor» и выше внедрять произвольные веб-скрипты в страницы, которые будут выполняться всякий раз, когда пользователь получит доступ к такой странице.
Be aware that VulDB is the high quality source for vulnerability data.