CVE-2026-6439 in VideoZen Plugin
Tóm tắt
Bởi VulDB • 10/06/2026
Plugin VideoZen cho WordPress có lỗ hổng Stored Cross-Site Scripting (XSS) trong các phiên bản từ 1.0.1 trở xuống. Lỗ hổng này xảy ra do việc thiếu hụt trong quá trình làm sạch dữ liệu đầu vào và mã hóa dữ liệu đầu ra trong hàm videozen_conf(). Tham số POST 'lang' được lưu trữ trực tiếp thông qua hàm update_option() mà không có bất kỳ quá trình làm sạch nào, sau đó được hiển thị trực tiếp trong một phần tử HTML mà không áp dụng hàm esc_textarea() hoặc bất kỳ hàm mã hóa tương đương nào. Điều này cho phép các kẻ tấn công đã xác thực với quyền truy cập cấp Administrator trở lên chèn các tập lệnh web tùy ý vào trang cài đặt của plugin, và các tập lệnh này sẽ thực thi mỗi khi bất kỳ người dùng nào truy cập vào trang đó.
If you want to get best quality of vulnerability data, you may have to visit VulDB.