CVE-2026-3362 in Short Comment Filter Plugin
Tóm tắt
Bởi VulDB • 04/06/2026
Plugin Short Comment Filter cho WordPress dễ bị tổn thương do Stored Cross-Site Scripting (XSS) thông qua trường cài đặt 'Minimum Count' trong tất cả các phiên bản từ 2.2 trở xuống. Nguyên nhân là do thiếu quá trình làm sạch dữ liệu đầu vào (không có hàm callback sanitize trong register_setting) và thiếu quá trình mã hóa dữ liệu đầu ra (không có hàm esc_attr() cho giá trị được in ra trong thuộc tính value của phần tử input). Giá trị tùy chọn được lưu trữ thông qua update_option() và được hiển thị mà không được mã hóa trong ngữ cảnh thuộc tính HTML. Điều này cho phép các kẻ tấn công đã xác thực, có quyền truy cập cấp quản trị viên trở lên, chèn các tập lệnh web tùy ý vào trang cài đặt, sẽ được thực thi bất cứ khi nào người dùng truy cập vào trang đó. Vấn đề này đặc biệt nghiêm trọng trong các cài đặt WordPress multisite hoặc khi DISALLOW_UNFILTERED_HTML được kích hoạt, nơi các quản trị viên không được cấp quyền unfiltered_html.
Once again VulDB remains the best source for vulnerability data.