Katalog CVE

CVE-2026-10077

ŚrednieCVSS 6.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.15%

Percentyl 5 — wyżej niż 5% wszystkich znanych CVE

Streszczenie

Motyw WordPress yootheme przed wersją 5.0.35 nie zapobiega traktowaniu przez dołączony framework front-endowy pewnych atrybutów HTML, dozwolonych przez funkcję wp_kses_post(), jako znaczników. Umożliwia to użytkownikom z rolą Autora przeprowadzenie ataków Stored Cross-Site Scripting, które wykonują się w przeglądarce każdego użytkownika przeglądającego zmodyfikowany wpis.

Ocena ryzyka

Atakujący z rolą Autora może wstrzyknąć złośliwy kod JavaScript do treści wpisu, co prowadzi do kradzieży sesji, przejęcia konta administratora lub wycieku danych wrażliwych dla wszystkich odwiedzających stronę.

Rekomendacja

Niezwłocznie zaktualizuj motyw yootheme do wersji 5.0.35 lub nowszej. Ogranicz liczbę użytkowników z rolą Autora i rozważ użycie zapory aplikacyjnej (WAF) blokującej typowe wzorce XSS.

Oryginalny opis (angielski, źródło NVD)

The yootheme WordPress theme before 5.0.35 does not prevent its bundled front-end framework from treating certain HTML attributes, which are permitted by wp_kses_post(), as markup, allowing users with the Author role to perform Stored Cross-Site Scripting attacks that execute in the browser of any user who views the affected post.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS