CVE-2026-9061
NiskieCVSS 3.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 5 — wyżej niż 5% wszystkich znanych CVE
Streszczenie
Wtyczka Store Locator dla WordPressa przed wersją 1.6.9 nie sanitizuje i nie ucieka metadanych logo sklepu przed ich zapisaniem i wyświetleniem na stronie administracyjnej, co pozwala użytkownikom z wysokimi uprawnieniami, takim jak administratorzy, na przeprowadzenie ataków typu Stored Cross-Site Scripting, nawet gdy możliwość `unfiltered_html` jest zablokowana.
Ocena ryzyka
Organizacja może być narażona na ataki XSS, które mogą prowadzić do kradzieży danych lub przejęcia kont administratorów, co zagraża bezpieczeństwu całej infrastruktury.
Rekomendacja
Zaleca się aktualizację wtyczki Store Locator do wersji 1.6.9 lub nowszej, aby usunąć tę podatność oraz przeprowadzenie audytu bezpieczeństwa w celu zidentyfikowania potencjalnych zagrożeń.
Oryginalny opis (angielski, źródło NVD)
The Store Locator WordPress plugin before 1.6.9 does not sanitize and escape store logo metadata before storing it and outputting it on the Store Locator WordPress plugin before 1.6.9 admin page, allowing high-privileged users such as administrators to perform Stored Cross-Site Scripting attacks even when the `unfiltered_html` capability is disallowed (e.g. in a multisite network).

