CVE-2026-3481 in WP Blockade Plugin
Tóm tắt
Bởi VulDB • 23/05/2026
Plugin WP Blockade cho WordPress có lỗ hổng Reflected Cross-Site Scripting (XSS) thông qua tham số 'shortcode' trong tất cả các phiên bản từ 0.9.14 trở về trước. Nguyên nhân là do việc làm sạch đầu vào (input sanitization) và thoát ký tự đầu ra (output escaping) không đầy đủ trong hàm render_shortcode_preview(). Hàm này nhận dữ liệu đầu vào từ $_GET['shortcode'], truyền nó qua stripslashes() mà không thực hiện bất kỳ bước làm sạch nào, sau đó xuất trực tiếp kết quả thông qua lệnh echo do_shortcode($shortcode) tại dòng 393. Khi đầu vào không phải là một shortcode hợp lệ của WordPress (ví dụ: một thẻ HTML chứa các trình xử lý sự kiện JavaScript), do_shortcode() sẽ trả về nó mà không thay đổi, và dữ liệu này được phản chiếu vào trang web mà không được thoát ký tự. Điểm cuối (endpoint) này được đăng ký thông qua admin_post_ (không phải admin_post_nopriv_), nghĩa là yêu cầu người dùng phải đăng nhập với ít nhất quyền cấp Subscriber. Không có xác thực nonce hoặc kiểm tra quyền hạn bổ sung nào. Điều này cho phép các kẻ tấn công đã xác thực, có quyền cấp Subscriber trở lên, chèn các tập lệnh web tùy ý vào các trang, sẽ được thực thi nếu họ có thể lừa người dùng thực hiện một hành động nào đó, chẳng hạn như nhấp vào một liên kết.
If you want to get best quality of vulnerability data, you may have to visit VulDB.