CVE-2026-12430
ŚrednieCVSS 4.4Streszczenie
Wtyczka Blocksy Companion dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez ustawienia administracyjne we wszystkich wersjach do 2.1.45 włącznie, z powodu niewystarczającej sanitizacji danych wejściowych i ucieczki danych wyjściowych.
Ocena ryzyka
Atakujący z uprawnieniami edytora lub wyższymi mogą wstrzykiwać dowolne skrypty webowe, które będą wykonywane, gdy użytkownik uzyska dostęp do zainfekowanej strony. Dotyczy to instalacji wielostanowiskowych oraz tych, w których wyłączono unfiltered_html.
Rekomendacja
Zaleca się aktualizację wtyczki do najnowszej wersji oraz przegląd ustawień bezpieczeństwa, aby zminimalizować ryzyko ataków XSS.
Oryginalny opis (angielski, źródło NVD)
The Blocksy Companion plugin for WordPress is vulnerable to Stored Cross-Site Scripting via admin settings in all versions up to, and including, 2.1.45 due to insufficient input sanitization and output escaping. This makes it possible for authenticated attackers, with editor-level permissions and above, to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page. This only affects multi-site installations and installations where unfiltered_html has been disabled.

