Katalog CVE

CVE-2025-11262

Wysokie
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Wtyczka Link Whisper Free dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez parametr user_id we wszystkich wersjach do 0.9.0 włącznie, z powodu niewystarczającej sanitizacji wejścia i ucieczki wyjścia. Umożliwia to nieautoryzowanym atakującym wstrzykiwanie dowolnych skryptów webowych na stronach, które będą wykonywane, gdy użytkownik uzyska dostęp do zainfekowanej strony.

Ocena ryzyka

Atakujący mogą wykorzystać tę podatność do wstrzykiwania złośliwych skryptów, co może prowadzić do kradzieży danych użytkowników lub przejęcia sesji. To stwarza poważne zagrożenie dla bezpieczeństwa użytkowników oraz reputacji organizacji.

Rekomendacja

Zaleca się aktualizację wtyczki do najnowszej wersji, która naprawia tę podatność. Dodatkowo, warto przeprowadzić audyt bezpieczeństwa aplikacji, aby zidentyfikować i usunąć inne potencjalne luki.

Oryginalny opis (angielski, źródło NVD)

The Link Whisper Free plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the user_id parameter in all versions up to, and including, 0.9.0 due to insufficient input sanitization and output escaping. This makes it possible for unauthenticated attackers to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS