CVE-2026-4334 in Shariff Wrapper Plugin信息

摘要

由 VulDB • 2026-06-04

WordPress 插件 Shariff Wrapper 存在存储型跨站脚本漏洞（Stored Cross-Site Scripting），该漏洞存在于所有版本直至并包括 4.6.20 版本的 [shariff] 短代码中的 'headline' 参数，原因是输入清理和输出转义不足。这使得具有贡献者级别及以上权限的已认证攻击者能够在页面中注入任意 Web 脚本，当用户访问被注入的页面时这些脚本将执行。该漏洞的发生是因为插件使用了允许 HTML 标签范围较宽的自定义 wp_kses 实现，随后在清理后执行 str_replace 操作以插入 HTML，从而允许通过 style 属性中的 %total 占位符引入事件处理程序。

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

负责

Wordfence

预定

2026-03-17

披露

2026-05-28

管理

已接受

条目

VDB-366722

CPE

准备好

CWE

CWE-79 (已确认)

CVSS

6.4 (CNA)

EPSS

0.00040

KEV

否

活动

非常低

部门

Hostingprovider

来源

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-4334
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-4334
CVE Details	https://www.cvedetails.com/cve/CVE-2026-4334/

◂ 上一步一览下一步 ▸

Want to know what is going to be exploited?

We predict KEV entries!