Katalog CVE

CVE-2026-10104

ŚrednieCVSS 4.4
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.26%

Percentyl 18 — wyżej niż 18% wszystkich znanych CVE

Streszczenie

Wtyczka Product Video Gallery dla Woocommerce do WordPressa jest podatna na przechowywany atak XSS przez parametr custom_thumbnail we wszystkich wersjach do 1.5.1.8 włącznie. Podatność wynika z niedostatecznego oczyszczania danych wejściowych i braku kodowania wyjścia.

Ocena ryzyka

Uwierzytelnieni atakujący z dostępem na poziomie menedżera sklepu lub wyższym mogą wstrzykiwać dowolne skrypty webowe, które wykonają się podczas przeglądania zainfekowanych stron, co może prowadzić do kradzieży sesji, przekierowań lub innych szkodliwych działań.

Rekomendacja

Niezwłocznie zaktualizuj wtyczkę Product Video Gallery dla Woocommerce do najnowszej dostępnej wersji, która usuwa tę podatność. Jeśli aktualizacja nie jest dostępna, tymczasowo wyłącz wtyczkę lub ogranicz dostęp do niej tylko dla zaufanych użytkowników.

Oryginalny opis (angielski, źródło NVD)

The Product Video Gallery for Woocommerce plugin for WordPress is vulnerable to Stored Cross-Site Scripting via custom_thumbnail Parameter in all versions up to, and including, 1.5.1.8 due to insufficient input sanitization and output escaping. This makes it possible for authenticated attackers, with shop manager-level access and above, to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS