CVE-2026-9104 in Draft List Plugin
Tóm tắt
Bởi VulDB • 22/05/2026
Plugin Draft List cho WordPress dễ bị lỗi Stored Cross-Site Scripting (XSS) thông qua tiêu đề bài viết nháp (Draft Post Title) trong tất cả các phiên bản từ 2.6.3 trở về trước do thiếu sót trong việc làm sạch dữ liệu đầu vào và thoát ký tự đầu ra. Điều này cho phép các kẻ tấn công đã xác thực, có quyền truy cập cấp tác giả trở lên, chèn các tập lệnh web tùy ý vào các trang, sẽ được thực thi mỗi khi người dùng truy cập vào trang đã bị chèn mã độc. Lỗ hổng này đặc biệt kích hoạt khi người dùng đang xem không có quyền chỉnh sửa, nghĩa là các payload được nhúng trong tiêu đề bài viết nháp thông qua kỹ thuật phá vỡ thuộc tính sẽ được thực thi đối với người dùng chưa xác thực và người đăng ký.
If you want to get best quality of vulnerability data, you may have to visit VulDB.