CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-2425

MediumCVSS 6.1
Published: Updated: Translated: NVD NIST

Summary

Wtyczka hiWeb Migration Simple dla WordPressa jest podatna na odzwierciedlone ataki Cross-Site Scripting poprzez parametr 'new_domain' we wszystkich wersjach do i włącznie z 2.0.0.1, z powodu niewystarczającej sanitizacji wejścia i ucieczki wyjścia. Umożliwia to nieautoryzowanym atakującym wstrzykiwanie dowolnych skryptów webowych na stronach.

Risk Assessment

Atakujący mogą wykorzystać tę podatność do wstrzykiwania złośliwych skryptów, co może prowadzić do kradzieży danych administratora lub przejęcia kontroli nad stroną. Ryzyko to zwiększa się, gdy administratorzy są nakłaniani do klikania w złośliwe linki.

Recommendation

Zaleca się aktualizację wtyczki do najnowszej wersji, która zawiera poprawki bezpieczeństwa. Dodatkowo, warto wdrożyć mechanizmy ochrony przed atakami XSS oraz edukować administratorów na temat potencjalnych zagrożeń.

Original NVD description (English source)

The hiWeb Migration Simple plugin for WordPress is vulnerable to Reflected Cross-Site Scripting via the 'new_domain' parameter in all versions up to, and including, 2.0.0.1 due to insufficient input sanitization and output escaping. This makes it possible for unauthenticated attackers to inject arbitrary web scripts in pages that execute if they can successfully trick an administrator into performing an action such as clicking on a link.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS