Katalog CVE

CVE-2026-4259

WysokieCVSS 7.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.15%

Percentyl 4 - wyżej niż 4% wszystkich znanych CVE

Streszczenie

Wtyczka ultimate-woocommerce-auction-pro dla WordPressa w wersji do 2.4.5 nie sanitizuje i nie ucieka parametru przed jego wyświetleniem na stronie, co prowadzi do podatności na odzwierciedlone ataki Cross-Site Scripting (XSS). Atak ten może być wykorzystany przeciwko użytkownikom o wysokich uprawnieniach, takim jak administratorzy.

Ocena ryzyka

Wykorzystanie tej podatności może prowadzić do przejęcia konta administratora oraz umożliwić atakującym wykonanie złośliwego kodu w kontekście przeglądarki ofiary, co stwarza poważne zagrożenie dla bezpieczeństwa organizacji.

Rekomendacja

Zaleca się aktualizację wtyczki do najnowszej wersji, która zawiera poprawki bezpieczeństwa, oraz przeprowadzenie audytu bezpieczeństwa aplikacji w celu zidentyfikowania i usunięcia potencjalnych zagrożeń.

Oryginalny opis (angielski, źródło NVD)

The ultimate-woocommerce-auction-pro WordPress plugin through 2.4.5 does not sanitise and escape a parameter before outputting it back in the page, leading to a Reflected Cross-Site Scripting which could be used against high privilege users such as admin

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS