Katalog CVE

CVE-2026-10083

WysokieCVSS 7.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.16%

Percentyl 5 — wyżej niż 5% wszystkich znanych CVE

Streszczenie

Wtyczka APCu Manager dla WordPressa przed wersją 4.5.0 nie zabezpiecza kluczy pamięci podręcznej APCu przed wyświetleniem na stronie administracyjnej, co prowadzi do podatności na trwały atak XSS. Klucze pochodzące z niesanityzowanych danych wejściowych użytkownika (np. nazwy transjentu utworzonej przez niezautoryzowane żądanie) są renderowane bez kodowania, umożliwiając wykonanie dowolnego kodu JavaScript w sesji administratora.

Ocena ryzyka

Atakujący może przejąć sesję administratora, wykraść dane wrażliwe lub zmienić konfigurację witryny WordPress, co stanowi poważne zagrożenie dla bezpieczeństwa i integralności systemu.

Rekomendacja

Należy natychmiast zaktualizować wtyczkę APCu Manager do wersji 4.5.0 lub nowszej, która zawiera poprawkę eliminującą podatność na XSS.

Oryginalny opis (angielski, źródło NVD)

The APCu Manager WordPress plugin before 4.5.0 does not escape APCu object-cache keys before rendering them in an admin-area page, leading to a Stored Cross-Site Scripting vulnerability. When a persistent object cache is enabled, cache keys derived from unsanitised user input (e.g. a transient name created by another APCu Manager WordPress plugin before 4.5.0 from an unauthenticated request) are output without escaping and execute arbitrary JavaScript in the session of an administrator viewing the page.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS