CVE-2026-13252
ŚrednieCVSS 6.4Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 19 — wyżej niż 19% wszystkich znanych CVE
Streszczenie
Wtyczka RSS Aggregator by Feedzy dla WordPress do wersji 5.2.1 włącznie zawiera podatność na trwałe ataki XSS przez atrybut 'aspectRatio'. Brak odpowiedniej sanitizacji wejścia i ucieczki wyjścia umożliwia uwierzytelnionym atakującym z dostępem na poziomie współautora lub wyższym wstrzyknięcie dowolnych skryptów, które wykonują się przy każdym dostępie do zainfekowanej strony.
Ocena ryzyka
Ryzyko polega na możliwości przejęcia kontroli nad sesjami użytkowników, kradzieży danych lub rozprzestrzeniania złośliwego oprogramowania w obrębie witryny WordPress, co może prowadzić do utraty zaufania i naruszenia integralności treści.
Rekomendacja
Zaleca się natychmiastową aktualizację wtyczki RSS Aggregator by Feedzy do najnowszej dostępnej wersji, która usuwa tę podatność, oraz ograniczenie uprawnień użytkowników do niezbędnego minimum.
Oryginalny opis (angielski, źródło NVD)
The RSS Aggregator by Feedzy – Feed to Post, Autoblogging, News & YouTube Video Feeds Aggregator plugin for WordPress is vulnerable to Stored Cross-Site Scripting via 'aspectRatio' Attribute in all versions up to, and including, 5.2.1 due to insufficient input sanitization and output escaping. This makes it possible for authenticated attackers, with contributor-level access and above, to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page.

