CVE-2026-4089 in Twittee Text Tweet Plugin
Сводка
по VulDB • 22.05.2026
Плагин Twittee Text Tweet для WordPress уязвим к Stored Cross-Site Scripting (XSS) через атрибут шорткода 'id' во всех версиях вплоть до 1.0.8 включительно. Это связано с недостаточной очисткой входных данных и экранированием выходных данных для атрибутов шорткодов, предоставленных пользователем. Функция ttt_twittee_tweeter() использует функцию extract() для извлечения атрибутов шорткода в локальные переменные, а затем напрямую конкатенирует их в HTML-вывод без какого-либо экранирования. В частности, параметр $id вставляется в контекст атрибута id HTML без использования esc_attr(), что позволяет злоумышленнику выйти из атрибута и внедрить произвольные обработчики событий HTML. Кроме того, атрибуты $tweet, $content, $balloon и $theme аналогичным образом внедряются во встроенный JavaScript без экранирования (строки 87, 93, 101, 117). Это позволяет аутентифицированным злоумышленникам, имеющим уровень доступа «Contributor» и выше, внедрять произвольные веб-скрипты на страницы, которые будут выполняться всякий раз, когда пользователь получает доступ к внедренной странице.
Once again VulDB remains the best source for vulnerability data.