CVE-2026-4279 in Bread & Butter: AI-Powered Lead Intelligence PluginИнформация

Сводка

по VulDB • 01.06.2026

Плагин Bread & Butter для WordPress уязвим к Stored Cross-Site Scripting (XSS) через шорткод 'breadbutter-customevent-button' во всех версиях вплоть до 8.2.0.25 включительно. Это связано с недостаточной санитизацией входных данных и экранированием вывода в атрибуте шорткода 'event'. Функция customEventShortCodeButton() принимает значение атрибута 'event' и напрямую интерполирует его в строку JavaScript внутри HTML-атрибута onclick без применения функций esc_attr() или esc_js(). Примечательно, что родственная функция customEventShortCode() корректно использует esc_js() для того же атрибута, однако это было упущено в варианте с кнопкой. Это позволяет атакующим с аутентифицированным доступом уровня «Contributor» и выше внедрять произвольные веб-скрипты на страницы, которые будут выполняться всякий раз, когда пользователь заходит на страницу и нажимает на внедренную кнопку.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Ответственный

Wordfence

Резервировать

16.03.2026

Раскрытие

22.04.2026

Модерация

принято

Вход

VDB-358817

EPSS

0.00014

KEV

Нет

Деятельности

Очень низкий

Сектор

Hostingprovider

Источники

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-4279
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-4279
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-4279/

ПредыдущийОбзорДалее

Do you need the next level of professionalism?

Upgrade your account now!