CVE-2026-11589
WysokieCVSS 8.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 7 — wyżej niż 7% wszystkich znanych CVE
Streszczenie
Wtyczka WP Support Plus Responsive Ticket System dla WordPressa w wersji do 9.1.2 nieprawidłowo waliduje przesyłane pliki, umożliwiając niezalogowanym użytkownikom wgrywanie plików z złośliwym JavaScript (np. HTML lub SVG) do publicznie dostępnej lokalizacji, co prowadzi do trwałego ataku Cross-Site Scripting na użytkowników i administratorów witryny.
Ocena ryzyka
Atakujący może wstrzyknąć trwały skrypt, który wykona się w przeglądarkach odwiedzających witrynę, co może prowadzić do kradzieży sesji, przejęcia kont administratora lub rozprzestrzeniania złośliwego oprogramowania.
Rekomendacja
Natychmiast zaktualizuj wtyczkę WP Support Plus Responsive Ticket System do najnowszej dostępnej wersji lub usuń ją, jeśli nie jest niezbędna, oraz wdróż mechanizmy walidacji typów plików i skanowania antywirusowego dla przesyłanych plików.
Oryginalny opis (angielski, źródło NVD)
The WP Support Plus Responsive Ticket System WordPress plugin through 9.1.2 does not properly validate uploaded files, allowing unauthenticated users to upload files containing malicious JavaScript (such as HTML or SVG) to a publicly accessible location, leading to Stored Cross-Site Scripting attacks against site users and administrators.

