Katalog CVE

CVE-2026-8378

ŚrednieCVSS 5.4
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.15%

Percentyl 5 — wyżej niż 5% wszystkich znanych CVE

Streszczenie

Wtyczka Frontend File Manager dla WordPressa do wersji 23.6 nie sanitizuje ani nie ucieka od nazwy pliku przesyłanej do punktu końcowego zmiany nazwy pliku, co prowadzi do podatności na przechowywane ataki Cross-Site Scripting.

Ocena ryzyka

Użytkownicy z dostępem na poziomie Subskrybenta i wyżej mogą wykorzystać tę podatność, co stwarza ryzyko dla administratorów przeglądających interfejs zarządzania plikami.

Rekomendacja

Zaleca się aktualizację wtyczki do najnowszej wersji oraz wdrożenie dodatkowych środków bezpieczeństwa, aby ograniczyć dostęp do funkcji zmiany nazwy plików.

Oryginalny opis (angielski, źródło NVD)

The Frontend File Manager Plugin WordPress plugin through 23.6 does not sanitise nor escape a filename submitted to the frontend file-rename endpoint before storing it as post meta and rendering it back on the admin File Manager listing, leading to a Stored Cross-Site Scripting vulnerability exploitable by users with Subscriber-level access and above against an administrator viewing the file management interface.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS