CVE-2026-4804
ŚrednieCVSS 6.4Streszczenie
Motyw Zakra dla WordPressa do wersji 4.2.0 zawiera podatność na trwałe ataki XSS. Brak walidacji danych w rejestracji pól meta (zakra_menu_item_color, zakra_menu_item_hover_color, zakra_menu_item_active_color) przez REST API pozwala atakującym z dostępem na poziomie Współautora i wyższym na wstrzyknięcie złośliwego skryptu, który wykonuje się przy każdej wizycie na zainfekowanej stronie.
Ocena ryzyka
Atakujący może wstrzyknąć dowolny kod JavaScript, co prowadzi do kradzieży sesji, przekierowań na złośliwe strony lub defacementu witryny. Podatność dotyczy wszystkich stron korzystających z motywu Zakra w podatnej wersji.
Rekomendacja
Należy natychmiast zaktualizować motyw Zakra do najnowszej dostępnej wersji (powyżej 4.2.0). Jeśli aktualizacja nie jest możliwa, tymczasowo wyłącz REST API dla tych pól meta lub zastosuj własną walidację.
Oryginalny opis (angielski, źródło NVD)
The Zakra theme for WordPress is vulnerable to Stored Cross-Site Scripting via post meta values in all versions up to, and including, 4.2.0. This is due to the theme registering three post meta fields (zakra_menu_item_color, zakra_menu_item_hover_color, and zakra_menu_item_active_color) with 'show_in_rest' => true and 'auth_callback' => '__return_true', but without any sanitize_callback parameter in the register_post_meta() calls. While the classic editor save path applies sanitize_hex_color() sanitization, the REST API path completely bypasses this protection. The unsanitized meta values are then retrieved via get_post_meta() and concatenated directly into CSS strings that are output through wp_add_inline_style() without any escaping. This makes it possible for authenticated attackers, with Contributor-level access and above, to inject arbitrary web scripts in pages that will execute whenever a user accesses the injected page.

