Katalog CVE

CVE-2026-11589

WysokieCVSS 8.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.17%

Percentyl 7 — wyżej niż 7% wszystkich znanych CVE

Streszczenie

Wtyczka WP Support Plus Responsive Ticket System dla WordPressa w wersji do 9.1.2 nieprawidłowo waliduje przesyłane pliki, umożliwiając niezalogowanym użytkownikom wgrywanie plików z złośliwym JavaScript (np. HTML lub SVG) do publicznie dostępnej lokalizacji, co prowadzi do trwałego ataku Cross-Site Scripting na użytkowników i administratorów witryny.

Ocena ryzyka

Atakujący może wstrzyknąć trwały skrypt, który wykona się w przeglądarkach odwiedzających witrynę, co może prowadzić do kradzieży sesji, przejęcia kont administratora lub rozprzestrzeniania złośliwego oprogramowania.

Rekomendacja

Natychmiast zaktualizuj wtyczkę WP Support Plus Responsive Ticket System do najnowszej dostępnej wersji lub usuń ją, jeśli nie jest niezbędna, oraz wdróż mechanizmy walidacji typów plików i skanowania antywirusowego dla przesyłanych plików.

Oryginalny opis (angielski, źródło NVD)

The WP Support Plus Responsive Ticket System WordPress plugin through 9.1.2 does not properly validate uploaded files, allowing unauthenticated users to upload files containing malicious JavaScript (such as HTML or SVG) to a publicly accessible location, leading to Stored Cross-Site Scripting attacks against site users and administrators.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS