Katalog CVE

CVE-2026-12135

ŚrednieCVSS 6.4
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.21%

Percentyl 11 — wyżej niż 11% wszystkich znanych CVE

Streszczenie

Wtyczka FV Flowplayer Video Player dla WordPress jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez atrybut 'align' w shortcode'u 'video_player' we wszystkich wersjach do 7.5.51.7212 włącznie. Podatność wynika z niedostatecznego oczyszczania danych wejściowych i braku odpowiedniego kodowania wyjścia dla atrybutów dostarczanych przez użytkownika.

Ocena ryzyka

Uwierzytelnieni atakujący z dostępem na poziomie współautora lub wyższym mogą wstrzykiwać dowolne skrypty webowe na stronach, które będą wykonywane przy każdym dostępie użytkownika do zainfekowanej strony, co może prowadzić do kradzieży sesji, defacementu lub dalszej kompromitacji witryny.

Rekomendacja

Należy natychmiast zaktualizować wtyczkę FV Flowplayer Video Player do najnowszej dostępnej wersji, która usuwa tę podatność. Jeśli aktualizacja nie jest dostępna, tymczasowo wyłącz wtyczkę lub ogranicz dostęp do shortcode'u 'video_player' tylko dla zaufanych użytkowników.

Oryginalny opis (angielski, źródło NVD)

The FV Flowplayer Video Player plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the 'video_player' shortcode 'align' attribute in all versions up to, and including, 7.5.51.7212 due to insufficient input sanitization and output escaping on user supplied attributes. This makes it possible for authenticated attackers, with contributor-level access and above, to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS