Katalog CVE

CVE-2026-8607

ŚrednieCVSS 6.4
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.27%

Percentyl 18 — wyżej niż 18% wszystkich znanych CVE

Streszczenie

Wtyczka myCred dla WordPressa, odpowiedzialna za zarządzanie punktami w programach lojalnościowych, jest podatna na atak typu Stored Cross-Site Scripting poprzez atrybut 'wrap' Shortcode. Problem ten występuje we wszystkich wersjach do 3.1 włącznie z powodu niewystarczającej sanitizacji danych wejściowych i ucieczki danych wyjściowych.

Ocena ryzyka

Atakujący z poziomem dostępu co najmniej 'contributor' może wstrzykiwać dowolne skrypty webowe, które będą wykonywane, gdy użytkownik odwiedzi zainfekowaną stronę. Może to prowadzić do kradzieży danych użytkowników lub przejęcia kont.

Rekomendacja

Zaleca się aktualizację wtyczki myCred do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, warto przeprowadzić audyt bezpieczeństwa w celu zidentyfikowania potencjalnych zagrożeń.

Oryginalny opis (angielski, źródło NVD)

The Points Management System For Gamification, Ranks, Badges, and Loyalty Rewards Program – myCred plugin for WordPress is vulnerable to Stored Cross-Site Scripting via 'wrap' Shortcode Attribute in all versions up to, and including, 3.1 due to insufficient input sanitization and output escaping. This makes it possible for authenticated attackers, with contributor-level access and above, to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS