Katalog CVE

CVE-2026-11358

ŚrednieCVSS 4.4
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.20%

Percentyl 10 — wyżej niż 10% wszystkich znanych CVE

Streszczenie

Wtyczka Orbit Fox: Duplicate Page, Menu Icons, SVG Support, Cookie Notice, Custom Fonts & More dla WordPress jest podatna na przechowywane Cross-Site Scripting (XSS) poprzez ustawienia administracyjne we wszystkich wersjach do 3.0.6 włącznie, z powodu niewystarczającej sanitizacji wejścia i ucieczki wyjścia.

Ocena ryzyka

Atakujący z uprawnieniami administratora mogą wstrzykiwać dowolne skrypty webowe, które będą wykonywane przy każdym dostępie użytkownika do zainfekowanej strony, co stanowi poważne zagrożenie dla bezpieczeństwa instalacji wielostanowiskowych.

Rekomendacja

Zaleca się aktualizację wtyczki do najnowszej wersji oraz przegląd ustawień bezpieczeństwa, aby zminimalizować ryzyko ataków XSS.

Oryginalny opis (angielski, źródło NVD)

The Orbit Fox: Duplicate Page, Menu Icons, SVG Support, Cookie Notice, Custom Fonts & More plugin for WordPress is vulnerable to Stored Cross-Site Scripting via admin settings in all versions up to, and including, 3.0.6 due to insufficient input sanitization and output escaping. This makes it possible for authenticated attackers, with administrator-level permissions and above, to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page. This only affects multi-site installations and installations where unfiltered_html has been disabled.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS