CVE-2026-8494
ŚrednieCVSS 6.4Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 16 — wyżej niż 16% wszystkich znanych CVE
Streszczenie
Wtyczka Permalink Manager Lite dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez tytuły postów w interfejsie Edytora URI w panelu administracyjnym. Problem dotyczy wszystkich wersji do i włącznie z 2.5.3.3 z powodu niewystarczającego zabezpieczenia wyjścia.
Ocena ryzyka
Atakujący z poziomem dostępu Contributor lub wyższym może wstrzykiwać dowolne skrypty webowe, które będą wykonywane, gdy administrator uzyska dostęp do strony Permalink Manager. Może to prowadzić do przejęcia konta administratora lub kradzieży danych.
Rekomendacja
Zaleca się aktualizację wtyczki do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, warto ograniczyć dostęp do panelu administracyjnego dla użytkowników z niższymi uprawnieniami.
Oryginalny opis (angielski, źródło NVD)
The Permalink Manager Lite plugin for WordPress is vulnerable to Stored Cross-Site Scripting via post titles in the admin URI Editor interface in all versions up to, and including, 2.5.3.3 due to insufficient output escaping. This makes it possible for authenticated attackers, with Contributor-level access and above, to inject arbitrary web scripts in the admin Permalink Manager page that will execute whenever an administrator accesses the Permalink Manager page.

