Katalog CVE

CVE-2026-13246

ŚrednieCVSS 6.4
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.24%

Percentyl 15 — wyżej niż 15% wszystkich znanych CVE

Streszczenie

Wtyczka GiveWP dla WordPressa do 4.16.0 zawiera podatność na trwałe XSS przez atrybuty shortcode 'givewp_campaign_comments'. Atakujący z dostępem autora mogą wstrzyknąć dowolny skrypt, który wykona się przy każdej wizycie na zainfekowanej stronie.

Ocena ryzyka

Ryzyko obejmuje przejęcie sesji użytkowników, kradzież danych lub rozprzestrzenianie złośliwego kodu na stronie, co może zaszkodzić reputacji organizacji i narazić dane darczyńców.

Rekomendacja

Zaleca się natychmiastową aktualizację wtyczki GiveWP do wersji 4.16.1 lub nowszej oraz ograniczenie uprawnień autorów do minimum.

Oryginalny opis (angielski, źródło NVD)

The GiveWP – Donation Plugin and Fundraising Platform plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the 'block_id' (and other) shortcode attributes of the 'givewp_campaign_comments' shortcode in versions up to, and including, 4.16.0. This is due to insufficient input sanitization and output escaping on user supplied attributes in CampaignCommentsShortcode::parseAttributes() and BlockRenderController::render(), where the blockId value is interpolated directly into a single-quoted HTML attribute without esc_attr(). This makes it possible for authenticated attackers, with author-level access and above, to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS