Katalog CVE

CVE-2026-11356

ŚrednieCVSS 4.4
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.25%

Percentyl 16 — wyżej niż 16% wszystkich znanych CVE

Streszczenie

Wtyczka Ivory Search dla WordPressa do wersji 5.5.15 włącznie jest podatna na trwałe ataki XSS przez parametry 'menu_title' i 'menu_magnifier_color'. Luka wynika z niedostatecznego oczyszczania danych wejściowych i braku odpowiedniego kodowania wyjścia.

Ocena ryzyka

Uwierzytelniony atakujący z uprawnieniami administratora może wstrzyknąć dowolny skrypt JavaScript, który wykona się przy każdej wizycie użytkownika na zainfekowanej stronie, co może prowadzić do kradzieży sesji, defacementu lub dalszej eskalacji ataku.

Rekomendacja

Należy natychmiast zaktualizować wtyczkę Ivory Search do najnowszej dostępnej wersji. Ograniczyć liczbę kont z uprawnieniami administratora i regularnie audytować uprawnienia użytkowników.

Oryginalny opis (angielski, źródło NVD)

The Ivory Search – WordPress Search Plugin plugin for WordPress is vulnerable to Stored Cross-Site Scripting via 'menu_title' and 'menu_magnifier_color' Settings in all versions up to, and including, 5.5.15 due to insufficient input sanitization and output escaping. This makes it possible for authenticated attackers, with administrator-level access and above, to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS