Katalog CVE

CVE-2026-13295

ŚrednieCVSS 6.4
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.24%

Percentyl 15 — wyżej niż 15% wszystkich znanych CVE

Streszczenie

Wtyczka Page Builder by SiteOrigin dla WordPressa do wersji 2.34.3 zawiera podatność na trwałe ataki XSS przez parametr panels_data. Brak odpowiedniej sanitizacji wejścia i eskejpowania wyjścia umożliwia uwierzytelnionym atakującym z dostępem na poziomie Współautora i wyższym wstrzyknięcie dowolnych skryptów, które wykonają się przy dostępie do zainfekowanej strony.

Ocena ryzyka

Atakujący może wstrzyknąć złośliwy kod JavaScript, który wykona się w przeglądarkach odwiedzających stronę, co może prowadzić do kradzieży sesji, przekierowań lub defacementu. Podatność jest szczególnie niebezpieczna, ponieważ Contributorzy mogą atakować własne posty bez potrzeby eskalacji uprawnień.

Rekomendacja

Należy natychmiast zaktualizować wtyczkę Page Builder by SiteOrigin do najnowszej dostępnej wersji. Jeśli aktualizacja nie jest możliwa, należy ograniczyć uprawnienia Contributorów i wyżej do minimum oraz rozważyć tymczasowe wyłączenie wtyczki.

Oryginalny opis (angielski, źródło NVD)

The Page Builder by SiteOrigin plugin for WordPress is vulnerable to Stored Cross-Site Scripting via panels_data Parameter in all versions up to, and including, 2.34.3 due to insufficient input sanitization and output escaping. This makes it possible for authenticated attackers, with Contributor-level access and above, to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page. This is possible because the nonce and edit_post capability checks enforced during save are both satisfied by Contributor-level users for their own posts, and the panels_data value is stored as post meta — outside the scope of WordPress's unfiltered_html carve-out — meaning no wp_kses fallback prevents the unsanitized WP_Widget_Custom_HTML content from being persisted and later rendered verbatim on the frontend.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS