Katalog CVE

CVE-2026-9061

NiskieCVSS 3.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.15%

Percentyl 5 — wyżej niż 5% wszystkich znanych CVE

Streszczenie

Wtyczka Store Locator dla WordPressa przed wersją 1.6.9 nie sanitizuje i nie ucieka metadanych logo sklepu przed ich zapisaniem i wyświetleniem na stronie administracyjnej, co pozwala użytkownikom z wysokimi uprawnieniami, takim jak administratorzy, na przeprowadzenie ataków typu Stored Cross-Site Scripting, nawet gdy możliwość `unfiltered_html` jest zablokowana.

Ocena ryzyka

Organizacja może być narażona na ataki XSS, które mogą prowadzić do kradzieży danych lub przejęcia kont administratorów, co zagraża bezpieczeństwu całej infrastruktury.

Rekomendacja

Zaleca się aktualizację wtyczki Store Locator do wersji 1.6.9 lub nowszej, aby usunąć tę podatność oraz przeprowadzenie audytu bezpieczeństwa w celu zidentyfikowania potencjalnych zagrożeń.

Oryginalny opis (angielski, źródło NVD)

The Store Locator WordPress plugin before 1.6.9 does not sanitize and escape store logo metadata before storing it and outputting it on the Store Locator WordPress plugin before 1.6.9 admin page, allowing high-privileged users such as administrators to perform Stored Cross-Site Scripting attacks even when the `unfiltered_html` capability is disallowed (e.g. in a multisite network).

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS