CVE-2026-3368

Il plugin Injection Guard per WordPress è vulnerabile a Cross-Site Scripting memorizzato tramite nomi di parametri di query maligni in tutte le versioni fino alla 1.2.9 inclusa. Ciò è dovuto a un'errata sanitizzazione dell'input nella funzione sanitize_ig_data(), che sanifica solo i valori dell'array ma non le chiavi dell'array, combinata con l'assenza di escaping dell'output nel template ig_settings.php, dove le chiavi dei parametri memorizzati vengono riflesse direttamente in HTML. Quando viene effettuata una richiesta al sito, il plugin cattura la stringa di query tramite $_SERVER['QUERY_STRING'], applica esc_url_raw() (che preserva i caratteri speciali URL-encoded come %22, %3E, %3C), e poi la passa a parse_str(), che decodifica la stringa URL-encoded, risultando in chiavi di array decodificate contenenti HTML/JavaScript. Queste chiavi vengono memorizzate tramite update_option('ig_requests_log') e successivamente renderizzate senza l'uso di esc_html() o esc_attr() nella pagina di log di amministrazione. Questo permette a attori malintenzionati non autenticati di iniettare script web arbitrari nella pagina di log dell'amministratore, che vengono eseguiti ogni volta che un amministratore visualizza l'interfaccia di log di Injection Guard.