Vulnerabilidad en plugin Info Cards para WordPress (CVE-2026-4120)

El plugin Info Cards – Add Text and Media in Card Layouts para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del parámetro 'btnUrl' dentro del bloque Info Cards en todas las versiones hasta, e incluyendo, la 2.0.7. Esto se debe a una validación de entrada insuficiente en los esquemas de URL, específicamente la falta de filtrado del protocolo javascript:. El render.php del bloque pasa todos los atributos como JSON al frontend a través de un atributo HTML data-attributes usando esc_attr(wp_json_encode()), lo que previene la inyección de atributos HTML pero no valida los protocolos de URL dentro de los datos JSON. El view.js del lado del cliente luego renderiza el valor de btnUrl directamente como un atributo href en elementos de anclaje sin ninguna sanitización de protocolo. Esto hace posible que atacantes autenticados, con acceso de nivel Colaborador y superior, inyecten URLs javascript: que ejecutan scripts web arbitrarios cuando un usuario hace clic en el enlace del botón renderizado.