CVE-2026-11597
ŚrednieCVSS 6.4Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 9 — wyżej niż 9% wszystkich znanych CVE
Streszczenie
Wtyczka Surbma | Infusionsoft Shortcode dla WordPressa zawiera podatność na trwałe ataki XSS w wersjach do 2.0.1 włącznie. Problem wynika z braku odpowiedniej sanitacji i kodowania wyjścia dla atrybutów 'account' i 'id' w shortcode'ie 'infusionsoft-form', które są bezpośrednio łączone z atrybutem src tagu <script>. Umożliwia to uwierzytelnionym atakującym z dostępem na poziomie współautora lub wyższym wstrzyknięcie dowolnych skryptów, które wykonają się przy każdym odwiedzeniu zainfekowanej strony.
Ocena ryzyka
Organizacja narażona jest na kradzież sesji użytkowników, przejęcie kont administratora oraz rozprzestrzenianie złośliwego oprogramowania poprzez zainfekowane strony WordPress. Atakujący mogą wykraść dane wrażliwe lub przeprowadzić dalsze ataki na użytkowników.
Rekomendacja
Niezwłocznie zaktualizuj wtyczkę Surbma | Infusionsoft Shortcode do najnowszej dostępnej wersji, która usuwa tę podatność. Jeśli aktualizacja nie jest dostępna, tymczasowo wyłącz lub usuń wtyczkę.
Oryginalny opis (angielski, źródło NVD)
The Surbma | Infusionsoft Shortcode plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the 'infusionsoft-form' shortcode in versions up to, and including, 2.0.1. This is due to insufficient input sanitization and output escaping on user-supplied 'account' and 'id' shortcode attributes in the surbma_infusionsoft_shortcode_shortcode() function, which are concatenated directly into a <script> tag's src attribute. This makes it possible for authenticated attackers, with contributor-level access and above, to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page.

