CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-2382

MediumCVSS 6.4
Published: Updated: Translated: NVD NIST

Summary

Wtyczka FPW Category Thumbnails dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez parametr 'id' w akcji AJAX 'fpw_fs_get_file' we wszystkich wersjach do 1.9.5 włącznie. Problem wynika z niewystarczającej sanitizacji wejścia i ucieczki wyjścia.

Risk Assessment

Atakujący z poziomem dostępu Subskrybenta lub wyższym może wstrzykiwać dowolne skrypty webowe, które będą wykonywane, gdy administrator uzyska dostęp do strony ustawień wtyczki. Może to prowadzić do przejęcia kontroli nad kontem administratora lub kradzieży danych.

Recommendation

Zaleca się aktualizację wtyczki do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, warto przeprowadzić audyt bezpieczeństwa wtyczek zainstalowanych na stronie.

Original NVD description (English source)

The FPW Category Thumbnails plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the 'id' parameter of the 'fpw_fs_get_file' AJAX action in all versions up to, and including, 1.9.5. This is due to insufficient input sanitization and output escaping. This makes it possible for authenticated attackers, with Subscriber-level access and above, to inject arbitrary web scripts in pages that will execute whenever an administrator accesses the plugin's settings page.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS