Katalog CVE

CVE-2026-10089

ŚrednieCVSS 6.4
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.22%

Percentyl 12 — wyżej niż 12% wszystkich znanych CVE

Streszczenie

Wtyczka Insert Pages dla WordPressa jest podatna na trwałe ataki XSS poprzez klucze pól niestandardowych (nazwy meta kluczy) w wersjach do 3.11.4 włącznie. Podatność wynika z braku odpowiedniego escapowania klucza pola niestandardowego ($key) w funkcji the_meta(), podczas gdy wartość pola jest prawidłowo filtrowana. Atakujący z dostępem autora lub wyższym mogą wstrzykiwać dowolne skrypty webowe, które wykonają się przy wyświetleniu strony z wstawioną zawartością.

Ocena ryzyka

Ryzyko dla organizacji obejmuje możliwość przejęcia sesji użytkowników, kradzieży danych lub rozprzestrzeniania złośliwego oprogramowania poprzez wykonanie skryptów w przeglądarkach ofiar odwiedzających zainfekowane strony.

Rekomendacja

Należy natychmiast zaktualizować wtyczkę Insert Pages do najnowszej dostępnej wersji, która usuwa tę podatność. Jeśli aktualizacja nie jest dostępna, tymczasowo wyłącz wtyczkę lub ogranicz dostęp do funkcji wstawiania stron tylko dla zaufanych użytkowników.

Oryginalny opis (angielski, źródło NVD)

The Insert Pages plugin for WordPress is vulnerable to Stored Cross-Site Scripting via post custom field keys (meta key names) in all versions up to, and including, 3.11.4. This is due to insufficient output escaping in the the_meta() function: while the custom field VALUE is sanitized with wp_kses_post(), the custom field KEY ($key) is interpolated into the rendered HTML (lines 1786-1791) and echoed (line 1806) without any escaping when an inserted page is rendered with the [insert page='ID' display='all'] shortcode. This makes it possible for authenticated attackers, with author-level access and above, to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS