CVE-2026-7421
MediumCVSS 4.4Summary
Wtyczka Passeum Ticketing dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) we wszystkich wersjach do i włącznie z 1.0. Problem wynika z metody `get_shop_url()`, która zwraca wartość ustawienia `shop_name` bez sanitizacji, co pozwala na wstrzykiwanie złośliwych skryptów przez atakujących z dostępem na poziomie Administratora.
Risk Assessment
Atakujący mogą wstrzykiwać złośliwe skrypty, które będą wykonywane na każdej stronie frontendowej zawierającej shortcode Passeum Ticketing, co zagraża bezpieczeństwu wszystkich odwiedzających stronę. Instalacje jedno-stronowe nie są dotknięte, ponieważ administratorzy mają już uprawnienia do wprowadzania niesanitizowanego HTML.
Recommendation
Zaleca się aktualizację wtyczki Passeum Ticketing do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, warto przeprowadzić audyt uprawnień użytkowników, aby ograniczyć dostęp do funkcji administracyjnych.
Original NVD description (English source)
The Passeum Ticketing plugin for WordPress is vulnerable to Stored Cross-Site Scripting in all versions up to, and including, 1.0. This is due to the `get_shop_url()` method returning the `shop_name` setting value without sanitization when it begins with "http", combined with insufficient validation in the `validate_shop_name()` function which only checks for empty values and string type. This makes it possible for authenticated attackers, with Administrator-level access and above, to inject arbitrary external scripts by setting the `shop_name` to an attacker-controlled URL (e.g., `https://attacker.com`), which causes the plugin to enqueue external JavaScript and CSS from the attacker-controlled domain via `wp_register_script()` and `wp_register_style()`. The injected scripts execute on every frontend page containing any Passeum Ticketing shortcode, affecting all site visitors. Please note that this does not affect single-site installations as administrators already have the `unfiltered_html` capability.

