CVE-2026-10083
WysokieCVSS 7.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 5 — wyżej niż 5% wszystkich znanych CVE
Streszczenie
Wtyczka APCu Manager dla WordPressa przed wersją 4.5.0 nie zabezpiecza kluczy pamięci podręcznej APCu przed wyświetleniem na stronie administracyjnej, co prowadzi do podatności na trwały atak XSS. Klucze pochodzące z niesanityzowanych danych wejściowych użytkownika (np. nazwy transjentu utworzonej przez niezautoryzowane żądanie) są renderowane bez kodowania, umożliwiając wykonanie dowolnego kodu JavaScript w sesji administratora.
Ocena ryzyka
Atakujący może przejąć sesję administratora, wykraść dane wrażliwe lub zmienić konfigurację witryny WordPress, co stanowi poważne zagrożenie dla bezpieczeństwa i integralności systemu.
Rekomendacja
Należy natychmiast zaktualizować wtyczkę APCu Manager do wersji 4.5.0 lub nowszej, która zawiera poprawkę eliminującą podatność na XSS.
Oryginalny opis (angielski, źródło NVD)
The APCu Manager WordPress plugin before 4.5.0 does not escape APCu object-cache keys before rendering them in an admin-area page, leading to a Stored Cross-Site Scripting vulnerability. When a persistent object cache is enabled, cache keys derived from unsanitised user input (e.g. a transient name created by another APCu Manager WordPress plugin before 4.5.0 from an unauthenticated request) are output without escaping and execute arbitrary JavaScript in the session of an administrator viewing the page.

