Katalog CVE

CVE-2026-12114

ŚrednieCVSS 4.4
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.21%

Percentyl 11 — wyżej niż 11% wszystkich znanych CVE

Streszczenie

Wtyczka Team Members – Multi Language Supported Team Plugin dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez ustawienia administratora we wszystkich wersjach do 8.7 włącznie. Podatność wynika z niedostatecznego oczyszczania danych wejściowych i braku odpowiedniego kodowania wyjścia.

Ocena ryzyka

Uwierzytelniony atakujący z uprawnieniami administratora może wstrzyknąć dowolny skrypt, który wykona się przy każdym dostępie do zainfekowanej strony, co może prowadzić do kradzieży sesji, defacementu lub dalszej eskalacji ataku. Problem dotyczy tylko instalacji wielostanowiskowych oraz tych, gdzie wyłączono filtrowanie unfiltered_html.

Rekomendacja

Niezwłocznie zaktualizuj wtyczkę Team Members do najnowszej dostępnej wersji. W przypadku instalacji wielostanowiskowych rozważ ograniczenie uprawnień administratorów lub włączenie filtrowania unfiltered_html.

Oryginalny opis (angielski, źródło NVD)

The Team Members – Multi Language Supported Team Plugin plugin for WordPress is vulnerable to Stored Cross-Site Scripting via admin settings in all versions up to, and including, 8.7 due to insufficient input sanitization and output escaping. This makes it possible for authenticated attackers, with administrator-level permissions and above, to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page. This only affects multi-site installations and installations where unfiltered_html has been disabled.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS