CVE-2026-4334 in Shariff Wrapper PluginИнформация

Сводка

по VulDB • 04.06.2026

Плагин Shariff Wrapper для WordPress уязвим к Stored Cross-Site Scripting (XSS) через параметр 'headline' в шорткоде [shariff] во всех версиях вплоть до 4.6.20 включительно из-за недостаточной санитизации входных данных и экранирования выходных данных. Это позволяет атакующим с уровнем доступа «Contributor» (Соавтор) и выше, прошедшим аутентификацию, внедрять произвольные веб-скрипты в страницы, которые будут выполняться при каждом обращении пользователя к такой странице. Уязвимость возникает из-за того, что плагин использует пользовательскую реализацию wp_kses с разрешительным списком допустимых HTML-тегов, а затем выполняет операцию str_replace, внедряя HTML после санитизации, что позволяет добавлять обработчики событий через заполнитель %total в атрибуте style.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Ответственный

Wordfence

Резервировать

17.03.2026

Раскрытие

28.05.2026

Модерация

принято

Вход

VDB-366722

EPSS

0.00040

KEV

Нет

Деятельности

Очень низкий

Сектор

Hostingprovider

Источники

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-4334
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-4334
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-4334/

ПредыдущийОбзорДалее

Want to know what is going to be exploited?

We predict KEV entries!