Katalog CVE

CVE-2026-8628

ŚrednieCVSS 6.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.21%

Percentyl 11 — wyżej niż 11% wszystkich znanych CVE

Streszczenie

Wtyczka EntreDroppers dla WordPressa jest podatna na odzwierciedlone ataki Cross-Site Scripting (XSS) poprzez parametr PHP_SELF we wszystkich wersjach do i włącznie z 1.1.2 z powodu niewystarczającej sanitizacji wejścia i ucieczki wyjścia. Atakujący może wstrzyknąć dowolne skrypty webowe, jeśli uda mu się oszukać użytkownika do wykonania akcji, takiej jak kliknięcie w link.

Ocena ryzyka

Podatność ta pozwala nieautoryzowanym atakującym na wstrzykiwanie złośliwych skryptów, co może prowadzić do kradzieży danych użytkowników lub przejęcia sesji. Organizacje powinny być świadome ryzyka związanego z wykorzystaniem tej wtyczki na swoich stronach.

Rekomendacja

Zaleca się aktualizację wtyczki EntreDroppers do najnowszej wersji, która zawiera poprawki zabezpieczeń. Dodatkowo, warto przeprowadzić audyt bezpieczeństwa aplikacji, aby zminimalizować ryzyko ataków XSS.

Oryginalny opis (angielski, źródło NVD)

The EntreDroppers plugin for WordPress is vulnerable to Reflected Cross-Site Scripting via PHP_SELF Parameter in all versions up to, and including, 1.1.2 due to insufficient input sanitization and output escaping. This makes it possible for unauthenticated attackers to inject arbitrary web scripts in pages that execute if they can successfully trick a user into performing an action such as clicking on a link. The payload is delivered via attacker-controlled path-info in the URL (e.g., /wp-admin/admin.php/"><script>alert(0)</script>/?page=EntreDroppers.php), which PHP_SELF reflects directly into the form action attribute.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS