CVE-2026-0694

The SearchWiz plugin for WordPress is vulnerable to Stored Cross-Site Scripting via post titles in search results in all versions up to, and including, 1.0.0. This is due to the plugin using `esc_attr()` instead of `esc_html()` when outputting post titles in search results. This makes it possible for authenticated attackers, with contributor-level access and above, to inject arbitrary web scripts in post titles that will execute whenever a user performs a search and views the search results page.
Configurations

No configuration.

History

15 Apr 2026, 00:35

Type Values Removed Values Added
Summary
  • (es) El plugin SearchWiz para WordPress es vulnerable a Cross-Site Scripting Almacenado a través de los títulos de las publicaciones en los resultados de búsqueda en todas las versiones hasta la 1.0.0, inclusive. Esto se debe a que el plugin utiliza `esc_attr()` en lugar de `esc_html()` al mostrar los títulos de las publicaciones en los resultados de búsqueda. Esto permite que atacantes autenticados, con acceso de nivel de colaborador y superior, inyecten scripts web arbitrarios en los títulos de las publicaciones que se ejecutarán cada vez que un usuario realice una búsqueda y vea la página de resultados de búsqueda.

14 Jan 2026, 06:15

Type Values Removed Values Added
New CVE

Information

Published : 2026-01-14 06:15

Updated : 2026-06-17 10:11


NVD link : CVE-2026-0694

Mitre link : CVE-2026-0694

CVE.ORG link : CVE-2026-0694


JSON object : View

Products Affected

No product.

CWE
CWE-79

Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')