Katalog CVE

CVE-2026-11597

ŚrednieCVSS 6.4
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.19%

Percentyl 9 — wyżej niż 9% wszystkich znanych CVE

Streszczenie

Wtyczka Surbma | Infusionsoft Shortcode dla WordPressa zawiera podatność na trwałe ataki XSS w wersjach do 2.0.1 włącznie. Problem wynika z braku odpowiedniej sanitacji i kodowania wyjścia dla atrybutów 'account' i 'id' w shortcode'ie 'infusionsoft-form', które są bezpośrednio łączone z atrybutem src tagu <script>. Umożliwia to uwierzytelnionym atakującym z dostępem na poziomie współautora lub wyższym wstrzyknięcie dowolnych skryptów, które wykonają się przy każdym odwiedzeniu zainfekowanej strony.

Ocena ryzyka

Organizacja narażona jest na kradzież sesji użytkowników, przejęcie kont administratora oraz rozprzestrzenianie złośliwego oprogramowania poprzez zainfekowane strony WordPress. Atakujący mogą wykraść dane wrażliwe lub przeprowadzić dalsze ataki na użytkowników.

Rekomendacja

Niezwłocznie zaktualizuj wtyczkę Surbma | Infusionsoft Shortcode do najnowszej dostępnej wersji, która usuwa tę podatność. Jeśli aktualizacja nie jest dostępna, tymczasowo wyłącz lub usuń wtyczkę.

Oryginalny opis (angielski, źródło NVD)

The Surbma | Infusionsoft Shortcode plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the 'infusionsoft-form' shortcode in versions up to, and including, 2.0.1. This is due to insufficient input sanitization and output escaping on user-supplied 'account' and 'id' shortcode attributes in the surbma_infusionsoft_shortcode_shortcode() function, which are concatenated directly into a <script> tag's src attribute. This makes it possible for authenticated attackers, with contributor-level access and above, to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS