Katalog CVE

CVE-2026-53742

ŚrednieCVSS 5.4
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.03%

Percentyl 9 — wyżej niż 9% wszystkich znanych CVE

Streszczenie

Simple Link Directory w wersji 9.0.4 nieprawidłowo przetwarza atrybuty shortcode, co prowadzi do ich odzwierciedlenia w atrybutach danych HTML bez odpowiedniego zabezpieczenia. Atakujący z dostępem do konta współtwórcy mogą stworzyć atrybut shortcode, który wstrzykuje handler zdarzeń wykonujący się w przeglądarce użytkownika.

Ocena ryzyka

Podatność ta może prowadzić do ataków typu XSS, co stwarza ryzyko przejęcia sesji użytkowników oraz kradzieży danych. Organizacje powinny być świadome potencjalnych zagrożeń związanych z dostępem do kont współtwórców.

Rekomendacja

Zaleca się aktualizację do najnowszej wersji Simple Link Directory oraz przegląd uprawnień dla kont współtwórców, aby zminimalizować ryzyko nadużyć.

Oryginalny opis (angielski, źródło NVD)

Simple Link Directory through 9.0.4 echoes embed shortcode attributes into HTML data attributes without escaping in the embedder template. Attackers with contributor access can craft a shortcode attribute that injects an event handler executing in a viewer's browser.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS