CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-3620

MediumCVSS 4.4
Published: Updated: Translated: NVD NIST

Summary

Wtyczka Word Replacer dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez parametr 'replacement' we wszystkich wersjach do i włącznie z 0.4. Problem wynika z niewystarczającej sanitizacji danych wejściowych oraz ucieczki danych wyjściowych.

Risk Assessment

Atakujący z dostępem na poziomie Administratora może wstrzykiwać dowolne skrypty webowe, które będą wykonywane, gdy użytkownik odwiedzi zainfekowaną stronę. To stwarza poważne zagrożenie dla bezpieczeństwa danych użytkowników oraz integralności strony.

Recommendation

Zaleca się aktualizację wtyczki do najnowszej wersji, która zawiera poprawki bezpieczeństwa. Dodatkowo, warto przeprowadzić audyt bezpieczeństwa, aby zidentyfikować i usunąć potencjalne zagrożenia.

Original NVD description (English source)

The Word Replacer plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the 'replacement' parameter in all versions up to, and including, 0.4. This is due to insufficient input sanitization and output escaping. This makes it possible for authenticated attackers, with Administrator-level access and above, to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS