CVE-2026-4259
WysokieCVSS 7.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 4 - wyżej niż 4% wszystkich znanych CVE
Streszczenie
Wtyczka ultimate-woocommerce-auction-pro dla WordPressa w wersji do 2.4.5 nie sanitizuje i nie ucieka parametru przed jego wyświetleniem na stronie, co prowadzi do podatności na odzwierciedlone ataki Cross-Site Scripting (XSS). Atak ten może być wykorzystany przeciwko użytkownikom o wysokich uprawnieniach, takim jak administratorzy.
Ocena ryzyka
Wykorzystanie tej podatności może prowadzić do przejęcia konta administratora oraz umożliwić atakującym wykonanie złośliwego kodu w kontekście przeglądarki ofiary, co stwarza poważne zagrożenie dla bezpieczeństwa organizacji.
Rekomendacja
Zaleca się aktualizację wtyczki do najnowszej wersji, która zawiera poprawki bezpieczeństwa, oraz przeprowadzenie audytu bezpieczeństwa aplikacji w celu zidentyfikowania i usunięcia potencjalnych zagrożeń.
Oryginalny opis (angielski, źródło NVD)
The ultimate-woocommerce-auction-pro WordPress plugin through 2.4.5 does not sanitise and escape a parameter before outputting it back in the page, leading to a Reflected Cross-Site Scripting which could be used against high privilege users such as admin

