CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2025-11262

High
Published: Translated: NVD NIST

Summary

Wtyczka Link Whisper Free dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez parametr user_id we wszystkich wersjach do 0.9.0 włącznie, z powodu niewystarczającej sanitizacji wejścia i ucieczki wyjścia. Umożliwia to nieautoryzowanym atakującym wstrzykiwanie dowolnych skryptów webowych na stronach, które będą wykonywane, gdy użytkownik uzyska dostęp do zainfekowanej strony.

Risk Assessment

Atakujący mogą wykorzystać tę podatność do wstrzykiwania złośliwych skryptów, co może prowadzić do kradzieży danych użytkowników lub przejęcia sesji. To stwarza poważne zagrożenie dla bezpieczeństwa użytkowników oraz reputacji organizacji.

Recommendation

Zaleca się aktualizację wtyczki do najnowszej wersji, która naprawia tę podatność. Dodatkowo, warto przeprowadzić audyt bezpieczeństwa aplikacji, aby zidentyfikować i usunąć inne potencjalne luki.

Original NVD description (English source)

The Link Whisper Free plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the user_id parameter in all versions up to, and including, 0.9.0 due to insufficient input sanitization and output escaping. This makes it possible for unauthenticated attackers to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS