CVE-2026-53740
ŚrednieCVSS 5.4Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 9 — wyżej niż 9% wszystkich znanych CVE
Streszczenie
Wtyczka Yoast Duplicate Post w wersji do 4.6 wprowadza nieosłonięty tytuł posta i permalink do powiadomienia o zaplanowanym ponownym opublikowaniu w klasycznym edytorze. Atakujący mogą zaplanować ponowne opublikowanie kopii z przygotowanym tytułem, aby wykonać skrypt, gdy administrator wyświetli wynikowe powiadomienie.
Ocena ryzyka
Podatność ta może prowadzić do wykonania złośliwego skryptu w kontekście administratora, co stwarza ryzyko przejęcia kontroli nad systemem lub kradzieży danych.
Rekomendacja
Zaleca się aktualizację wtyczki Yoast Duplicate Post do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, warto monitorować i ograniczać dostęp do funkcji edytora dla użytkowników z niższymi uprawnieniami.
Oryginalny opis (angielski, źródło NVD)
Yoast Duplicate Post through 4.6 inserts an unescaped post title and permalink into the Classic Editor scheduled republish notice. Attackers can schedule a republish copy with a crafted title to execute script when an administrator views the resulting notice.

