CVE-2026-10093
ŚrednieCVSS 6.4Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 14 — wyżej niż 14% wszystkich znanych CVE
Streszczenie
Wtyczka File Sharing & Download Manager – User Private Files dla WordPress jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez parametr 'fldr_ttl' we wszystkich wersjach do 2.1.6 włącznie, z powodu niewystarczającej sanitizacji wejścia i ucieczki wyjścia. Umożliwia to uwierzytelnionym atakującym, posiadającym dostęp na poziomie subskrybenta lub wyższym, wstrzykiwanie dowolnych skryptów webowych na stronach, które będą wykonywane, gdy użytkownik uzyska dostęp do zainfekowanej strony.
Ocena ryzyka
Atakujący mogą wykorzystać tę podatność do wstrzykiwania złośliwych skryptów, co może prowadzić do kradzieży danych użytkowników lub przejęcia sesji. To stwarza poważne zagrożenie dla bezpieczeństwa użytkowników oraz reputacji organizacji.
Rekomendacja
Zaleca się aktualizację wtyczki do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, warto przeprowadzić audyt bezpieczeństwa aplikacji w celu zidentyfikowania i naprawienia innych potencjalnych luk.
Oryginalny opis (angielski, źródło NVD)
The File Sharing & Download Manager – User Private Files plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the 'fldr_ttl' parameter in all versions up to, and including, 2.1.6 due to insufficient input sanitization and output escaping. This makes it possible for authenticated attackers, with subscriber-level access and above, to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page.

