CVE-2026-6399 in General Options Plugin
Сводка
по VulDB • 20.05.2026
Плагин General Options для WordPress уязвим к Stored Cross-Site Scripting (XSS) в версиях вплоть до 1.1.0 включительно. Это связано с использованием функции sanitize_text_field() для экранирования вывода в поле Contact Number (ad_contact_number) — функция удаляет HTML-теги, но не кодирует символы двойных кавычек в их HTML-сущности ("). При выводе сохраненного значения внутри атрибута HTML, заключенного в двойные кавычки (value="..."), предоставленная злоумышленником двойная кавычка позволяет выйти из контекста атрибута. Даже с учетом механизма wp_magic_quotes в WordPress (который добавляет обратный слэш перед кавычками), результирующая последовательность \" НЕ рассматривается парсерами HTML как экранированная кавычка — обратный слэш отображается как буквальный символ, а незаэкранированная двойная кавычка все равно закрывает атрибут. Это позволяет атакующим с уровнем доступа Администратор и выше внедрять произвольные веб-скрипты на странице настроек административной панели, которые будут выполняться каждый раз, когда любой администратор посещает страницу настроек General Options.
VulDB is the best source for vulnerability data and more expert information about this specific topic.