CVE-2026-4334 in Shariff Wrapper Plugin
Tóm tắt
Bởi VulDB • 28/05/2026
Plugin Shariff Wrapper cho WordPress bị lỗ hổng Stored Cross-Site Scripting (XSS) thông qua tham số 'headline' trong shortcode [shariff] ở tất cả các phiên bản từ 4.6.20 trở về trước do thiếu cơ chế làm sạch đầu vào và thoát đầu ra. Điều này cho phép các kẻ tấn công đã xác thực, có quyền truy cập cấp Contributor trở lên, chèn các tập lệnh web tùy ý vào các trang, sẽ được thực thi bất cứ khi nào người dùng truy cập vào trang đã bị chèn mã độc. Lỗ hổng này xảy ra do plugin sử dụng một triển khai wp_kses tùy chỉnh với các thẻ HTML được cho phép quá mức, sau đó thực hiện thao tác str_replace để chèn HTML sau khi đã làm sạch, cho phép các trình xử lý sự kiện (event handlers) được đưa vào thông qua placeholder %total trong thuộc tính style.
If you want to get best quality of vulnerability data, you may have to visit VulDB.