CVE-2026-53742
ŚrednieCVSS 5.4Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 9 — wyżej niż 9% wszystkich znanych CVE
Streszczenie
Simple Link Directory w wersji 9.0.4 nieprawidłowo przetwarza atrybuty shortcode, co prowadzi do ich odzwierciedlenia w atrybutach danych HTML bez odpowiedniego zabezpieczenia. Atakujący z dostępem do konta współtwórcy mogą stworzyć atrybut shortcode, który wstrzykuje handler zdarzeń wykonujący się w przeglądarce użytkownika.
Ocena ryzyka
Podatność ta może prowadzić do ataków typu XSS, co stwarza ryzyko przejęcia sesji użytkowników oraz kradzieży danych. Organizacje powinny być świadome potencjalnych zagrożeń związanych z dostępem do kont współtwórców.
Rekomendacja
Zaleca się aktualizację do najnowszej wersji Simple Link Directory oraz przegląd uprawnień dla kont współtwórców, aby zminimalizować ryzyko nadużyć.
Oryginalny opis (angielski, źródło NVD)
Simple Link Directory through 9.0.4 echoes embed shortcode attributes into HTML data attributes without escaping in the embedder template. Attackers with contributor access can craft a shortcode attribute that injects an event handler executing in a viewer's browser.

