Katalog CVE

CVE-2026-12098

ŚrednieCVSS 6.4
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.20%

Percentyl 10 — wyżej niż 10% wszystkich znanych CVE

Streszczenie

Wtyczka PowerPress Podcasting od Blubrry dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez pole 'embed' w metadanych odcinka. Problem ten występuje we wszystkich wersjach do 11.16.8 włącznie, z powodu niewystarczającej sanitizacji wejścia i ucieczki wyjścia.

Ocena ryzyka

Zagrożenie polega na tym, że uwierzytelnieni atakujący z dostępem na poziomie autora mogą wstrzykiwać dowolne skrypty webowe, które będą wykonywane przy każdym dostępie użytkownika do zainfekowanej strony. To stwarza ryzyko kradzieży danych lub przejęcia sesji użytkowników.

Rekomendacja

Zaleca się aktualizację wtyczki PowerPress Podcasting do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, warto przeprowadzić audyt bezpieczeństwa, aby zidentyfikować i usunąć potencjalnie zainfekowane treści.

Oryginalny opis (angielski, źródło NVD)

The PowerPress Podcasting plugin by Blubrry plugin for WordPress is vulnerable to Stored Cross-Site Scripting via 'embed' Episode Meta Field in all versions up to, and including, 11.16.8 due to insufficient input sanitization and output escaping. This makes it possible for authenticated attackers, with author-level access and above, to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page. The embed value is stored via update_post_meta() rather than through WordPress core's post content pipeline, meaning kses-on-save filtering is never applied — even for Author-role users who would otherwise lack unfiltered_html — making this path unprotected by WordPress's standard role-based XSS mitigations.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS