Katalog CVE

CVE-2026-9278

ŚrednieCVSS 5.4
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.16%

Percentyl 5 — wyżej niż 5% wszystkich znanych CVE

Streszczenie

Wtyczka Form Builder CP dla WordPressa przed wersją 1.2.47 nieprawidłowo sanitizuje wartość konfiguracji formularza przed jej zapisaniem, co umożliwia ataki typu Stored Cross-Site Scripting przez uwierzytelnionych użytkowników z dostępem na poziomie Edytora i wyżej.

Ocena ryzyka

Atakujący może wykorzystać tę podatność do wstrzyknięcia złośliwego skryptu, co zagraża bezpieczeństwu odwiedzających stronę oraz integralności danych.

Rekomendacja

Zaleca się aktualizację wtyczki do najnowszej wersji, aby usunąć tę podatność oraz przeprowadzenie audytu bezpieczeństwa aplikacji.

Oryginalny opis (angielski, źródło NVD)

The Form Builder CP WordPress plugin before 1.2.47 does not properly sanitize a form configuration value before storing it and using it as part of a client-side script execution, allowing authenticated users with Editor-level access and above to perform Stored Cross-Site Scripting attacks against any visitor of a page rendering the affected form, even when the `unfiltered_html` capability is disallowed (e.g. in a multisite network).

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS