CVE-2026-3231

El plugin Checkout Field Editor (Checkout Manager) para WooCommerce para WordPress es vulnerable a cross-site scripting almacenado a través de valores de campo personalizados de tipo radio y checkboxgroup enviados a través de la API de la tienda de pago por bloques de WooCommerce en todas las versiones hasta la 2.1.7, inclusive. Esto se debe al método `prepare_single_field_data()` en `class-thwcfd-block-order-data.php` que primero escapa los valores con `esc_html()` y luego revierte inmediatamente el escape con `html_entity_decode()` para los tipos de campo radio y checkboxgroup, combinado con una lista de permitidos `wp_kses()` permisiva en `get_allowed_html()` que permite explícitamente el elemento `` con el atributo gestor de eventos `onchange`. Esto hace posible que atacantes no autenticados inyecten scripts web arbitrarios a través del endpoint de pago de la API de la tienda que se ejecutan cuando un administrador ve la página de detalles del pedido.