Katalog CVE

CVE-2026-9107

ŚrednieCVSS 6.4
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.24%

Percentyl 15 — wyżej niż 15% wszystkich znanych CVE

Streszczenie

Wtyczka Kali Forms dla WordPressa do wersji 2.4.13 zawiera podatność na trwałe ataki XSS przez parametr 'meta[kaliforms_field_components]'. Uwierzytelnieni atakujący z dostępem na poziomie współautora lub wyższym mogą wstrzykiwać dowolne skrypty, które wykonają się podczas przeglądania zainfekowanej strony.

Ocena ryzyka

Ryzyko polega na możliwości przejęcia sesji użytkowników, kradzieży danych lub rozprzestrzeniania złośliwego oprogramowania poprzez wykonanie skryptów w kontekście przeglądarki ofiary.

Rekomendacja

Należy natychmiast zaktualizować wtyczkę Kali Forms do najnowszej dostępnej wersji, która usuwa tę podatność. Dodatkowo warto ograniczyć uprawnienia użytkowników do niezbędnego minimum.

Oryginalny opis (angielski, źródło NVD)

The Kali Forms — Contact Form & Drag-and-Drop Builder plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the 'meta[kaliforms_field_components]' parameter in all versions up to, and including, 2.4.13 due to insufficient input sanitization and output escaping. This makes it possible for authenticated attackers, with contributor-level access and above, to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS