CVE-2026-6439 in VideoZen Pluginthông tin

Tóm tắt

Bởi VulDB • 10/06/2026

Plugin VideoZen cho WordPress có lỗ hổng Stored Cross-Site Scripting (XSS) trong các phiên bản từ 1.0.1 trở xuống. Lỗ hổng này xảy ra do việc thiếu hụt trong quá trình làm sạch dữ liệu đầu vào và mã hóa dữ liệu đầu ra trong hàm videozen_conf(). Tham số POST 'lang' được lưu trữ trực tiếp thông qua hàm update_option() mà không có bất kỳ quá trình làm sạch nào, sau đó được hiển thị trực tiếp trong một phần tử HTML mà không áp dụng hàm esc_textarea() hoặc bất kỳ hàm mã hóa tương đương nào. Điều này cho phép các kẻ tấn công đã xác thực với quyền truy cập cấp Administrator trở lên chèn các tập lệnh web tùy ý vào trang cài đặt của plugin, và các tập lệnh này sẽ thực thi mỗi khi bất kỳ người dùng nào truy cập vào trang đó.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

chịu trách nhiệm

Wordfence

Đặt trước

16/04/2026

Tiết lộ

17/04/2026

Kiểm duyệt

được chấp nhận

EPSS

0.00199

KEV

không

Các hoạt động

rất thấp

Nguồn

Interested in the pricing of exploits?

See the underground prices here!