Katalog CVE

CVE-2026-11570

ŚrednieCVSS 4.2
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.14%

Percentyl 3 — wyżej niż 3% wszystkich znanych CVE

Streszczenie

Wtyczka User Submitted Posts dla WordPressa przed wersją 20260608 nie zabezpiecza przesłanej wartości przed wyświetleniem jej w szablonie skonfigurowanym przez administratora, co prowadzi do podatności na trwałe Cross-Site Scripting (XSS). Podatność może być wykorzystana przez nieuwierzytelnionych użytkowników, gdy włączona jest niestandardowa opcja wyświetlania.

Ocena ryzyka

Atakujący może wstrzyknąć złośliwy skrypt JavaScript, który wykona się w przeglądarkach administratorów lub innych użytkowników odwiedzających stronę, prowadząc do kradzieży sesji, defacementu lub dalszych ataków.

Rekomendacja

Niezwłocznie zaktualizuj wtyczkę User Submitted Posts do wersji 20260608 lub nowszej. Jeśli aktualizacja nie jest możliwa, wyłącz niestandardową opcję wyświetlania w ustawieniach wtyczki.

Oryginalny opis (angielski, źródło NVD)

The User Submitted Posts WordPress plugin before 20260608 does not escape a submitted value before outputting it in an admin-configured display template, leading to a Stored Cross-Site Scripting that can be triggered by unauthenticated users when a non-default display option is enabled.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS