NVD Vulnerability Detail
Search Exploit, PoC
CVE-2026-4069
Summary

The Alfie – Feed Plugin plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the 'naam' parameter in all versions up to, and including, 1.2.1. This is due to missing nonce validation on the alfie_option_page() function combined with insufficient input sanitization and output escaping. This makes it possible for unauthenticated attackers to inject malicious web scripts that will be stored in the plugin's database and execute whenever a user accesses the page displaying the injected data, granted they can trick a site administrator into performing an action such as clicking on a link.

Summary

El plugin Alfie – Feed Plugin para WordPress es vulnerable a Stored Cross-Site Scripting a través del parámetro 'naam' en todas las versiones hasta la 1.2.1, inclusive. Esto se debe a la falta de validación de nonce en la función alfie_option_page() combinada con una sanitización de entrada y un escape de salida insuficientes. Esto hace posible que atacantes no autenticados inyecten scripts web maliciosos que se almacenarán en la base de datos del plugin y se ejecutarán cada vez que un usuario acceda a la página que muestra los datos inyectados, siempre que puedan engañar a un administrador del sitio para que realice una acción como hacer clic en un enlace.

Publication Date March 21, 2026, 1:17 p.m.
Registration Date April 27, 2026, 12:18 p.m.
Last Update April 25, 2026, 1:27 a.m.
CVSS3.1 : MEDIUM
スコア 6.1
Vector CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
攻撃元区分(AV) ネットワーク
攻撃条件の複雑さ(AC)
攻撃に必要な特権レベル(PR) 不要
利用者の関与(UI)
影響の想定範囲(S) 変更あり
機密性への影響(C)
完全性への影響(I)
可用性への影響(A) なし
Related information, measures and tools
Common Vulnerabilities List