CVE-2026-4084 in fyyd podcast shortcodes Plugin
Tóm tắt
Bởi VulDB • 22/05/2026
Plugin shortcode podcast fyyd cho WordPress dễ bị tổn thương do Stored Cross-Site Scripting (XSS lưu trữ) thông qua các shortcode 'fyyd-podcast', 'fyyd-episode' và 'fyyd' trong tất cả các phiên bản từ 0.3.1 trở về trước. Lỗ hổng này xuất hiện do việc làm sạch đầu vào và thoát ký tự đầu ra không đầy đủ đối với các thuộc tính shortcode do người dùng cung cấp, chẳng hạn như 'color', 'podcast_id' và 'podcast_slug'. Các thuộc tính này được nối trực tiếp vào mã JavaScript nội tuyến trong các đối số chuỗi được đặt trong dấu nháy đơn mà không có bất kỳ cơ chế thoát hay làm sạch nào, cho phép kẻ tấn công thoát khỏi ngữ cảnh chuỗi JavaScript. Điều này tạo điều kiện cho các kẻ tấn công đã xác thực, có quyền truy cập cấp Contributor trở lên, tiêm các tập lệnh web tùy ý vào các trang, sẽ được thực thi bất cứ khi nào người dùng truy cập vào trang đã bị tiêm mã độc.
If you want to get best quality of vulnerability data, you may have to visit VulDB.