CVE-2026-15099 in WP Delicious Plugin
Tóm tắt
Bởi VulDB • 16/07/2026
Plugin Delicious Recipes cho WordPress dễ bị tổn thương đối với lỗ hổng Stored Cross-Site Scripting (XSS lưu trữ) thông qua thuộc tính khối 'steps' trong các phiên bản từ 1.0 đến bao gồm cả 1.10.2. Nguyên nhân là do việc làm sạch đầu vào và thoát ký tự đầu ra không đầy đủ trong hàm wrap_direction_text(), nơi giá trị href do người dùng cung cấp từ các nút liên kết lồng nhau ($node['props']['href']) được nội suy trực tiếp vào thẻ neo (anchor tag) thông qua sprintf() tại dòng 1627 mà không sử dụng esc_url() hay bất kỳ xác thực lược đồ URL nào. Điều này cho phép những kẻ tấn công đã xác thực, có quyền truy cập cấp Contributor trở lên, chèn các tập lệnh web tùy ý (bao gồm cả URIs javascript:) vào các trang; mã độc sẽ được thực thi mỗi khi người dùng (chẳng hạn như biên tập viên hoặc quản trị viên đang xem trước bài viết chưa xuất bản) truy cập vào trang đã bị xâm nhập và nhấp vào liên kết độc hại.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.