CVE-2026-11570
ŚrednieCVSS 4.2Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 3 — wyżej niż 3% wszystkich znanych CVE
Streszczenie
Wtyczka User Submitted Posts dla WordPressa przed wersją 20260608 nie zabezpiecza przesłanej wartości przed wyświetleniem jej w szablonie skonfigurowanym przez administratora, co prowadzi do podatności na trwałe Cross-Site Scripting (XSS). Podatność może być wykorzystana przez nieuwierzytelnionych użytkowników, gdy włączona jest niestandardowa opcja wyświetlania.
Ocena ryzyka
Atakujący może wstrzyknąć złośliwy skrypt JavaScript, który wykona się w przeglądarkach administratorów lub innych użytkowników odwiedzających stronę, prowadząc do kradzieży sesji, defacementu lub dalszych ataków.
Rekomendacja
Niezwłocznie zaktualizuj wtyczkę User Submitted Posts do wersji 20260608 lub nowszej. Jeśli aktualizacja nie jest możliwa, wyłącz niestandardową opcję wyświetlania w ustawieniach wtyczki.
Oryginalny opis (angielski, źródło NVD)
The User Submitted Posts WordPress plugin before 20260608 does not escape a submitted value before outputting it in an admin-configured display template, leading to a Stored Cross-Site Scripting that can be triggered by unauthenticated users when a non-default display option is enabled.

