CVE-2026-8489
ŚrednieCVSS 6.4Streszczenie
Wtyczka Ultimate Member dla WordPressa zawiera podatność na przechowywany atak XSS poprzez parametr 'about_me' w wersjach do 2.11.4 włącznie. Problem wynika z niedostatecznego oczyszczania danych wejściowych i braku odpowiedniego kodowania wyjścia.
Ocena ryzyka
Uwierzytelnieni atakujący z dostępem na poziomie subskrybenta lub wyższym mogą wstrzykiwać dowolne skrypty, które wykonają się podczas przeglądania zainfekowanych stron, co może prowadzić do kradzieży sesji, przekierowań lub innych szkodliwych działań.
Rekomendacja
Zaleca się natychmiastową aktualizację wtyczki Ultimate Member do najnowszej dostępnej wersji, która usuwa tę podatność. Należy również ograniczyć uprawnienia użytkowników do niezbędnego minimum.
Oryginalny opis (angielski, źródło NVD)
The Ultimate Member – User Profile, Registration, Login, Member Directory, Content Restriction & Membership Plugin plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the 'about_me' parameter in all versions up to, and including, 2.11.4 due to insufficient input sanitization and output escaping. This makes it possible for authenticated attackers, with subscriber-level access and above, to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page.

