Katalog CVE

CVE-2026-9125

ŚrednieCVSS 6.4
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.06%

Percentyl 18 — wyżej niż 18% wszystkich znanych CVE

Streszczenie

Wtyczka Presto Player dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez parametr 'link_url' shortcode'a [presto_player_overlay] w wersjach do 4.2.0 włącznie. Problem wynika z niewystarczającej sanitizacji danych wejściowych i ucieczki danych wyjściowych w funkcji getOverlays().

Ocena ryzyka

Atakujący z poziomem dostępu co najmniej 'contributor' może wstrzykiwać dowolne skrypty webowe, które będą wykonywane, gdy użytkownik odwiedzi zainfekowaną stronę. To stwarza poważne zagrożenie dla bezpieczeństwa użytkowników i integralności strony.

Rekomendacja

Zaleca się aktualizację wtyczki Presto Player do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, warto wdrożyć dodatkowe mechanizmy zabezpieczeń, takie jak Content Security Policy (CSP).

Oryginalny opis (angielski, źródło NVD)

The Presto Player plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the 'link_url' parameter of the [presto_player_overlay] shortcode in versions up to, and including, 4.2.0 This is due to insufficient input sanitization and output escaping in the getOverlays() function, which copies the link_url shortcode attribute directly into the overlay configuration without scheme validation, allowing javascript: URIs to survive and be rendered as the href of a clickable anchor element by the presto-dynamic-overlay-ui web component. This makes it possible for authenticated attackers, with contributor-level access and above, to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS