CVE-2026-10513
WysokieCVSS 7.2Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 15 — wyżej niż 15% wszystkich znanych CVE
Streszczenie
Wtyczka Webmention dla WordPressa do wersji 5.8.0 włącznie jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez metadane autora 'avatar' i 'url' pochodzące z parsera. Podatność wynika z niedostatecznego oczyszczania danych wejściowych i braku odpowiedniego kodowania wyjścia dla właściwości MF2 autora, które są przetwarzane przez niezautoryzowany endpoint REST Webmention i renderowane bezpośrednio w atrybutach 'value' HTML w szablonie edycji komentarza.
Ocena ryzyka
Nieuwierzytelniony atakujący może wstrzyknąć dowolny skrypt, który wykona się, gdy moderator lub administrator otworzy ekran edycji skażonego komentarza, co może prowadzić do kradzieży sesji, defacementu lub dalszej eskalacji uprawnień.
Rekomendacja
Należy natychmiast zaktualizować wtyczkę Webmention do najnowszej dostępnej wersji, która zawiera poprawki zabezpieczeń. Jeśli aktualizacja nie jest możliwa, tymczasowo wyłącz endpoint REST Webmention lub ogranicz dostęp do niego.
Oryginalny opis (angielski, źródło NVD)
The Webmention plugin for WordPress is vulnerable to Stored Cross-Site Scripting in versions up to and including 5.8.0 via parser-derived 'avatar' and 'url' author metadata. This is due to insufficient input sanitization and output escaping on user-supplied MF2 author properties processed by the unauthenticated webmention REST endpoint and rendered directly into HTML 'value' attributes by the edit-comment-form template without esc_attr() or esc_url(). This makes it possible for unauthenticated attackers to inject arbitrary web scripts in pages that will execute whenever a privileged user (moderator or administrator) opens the affected comment edit screen.

