Katalog CVE

CVE-2026-12754

ŚrednieCVSS 6.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.29%

Percentyl 21 — wyżej niż 21% wszystkich znanych CVE

Streszczenie

Wtyczka VikBooking Hotel Booking Engine & PMS dla WordPressa jest podatna na odbite ataki typu Cross-Site Scripting (XSS) poprzez parametr 'layoutstyle' we wszystkich wersjach do 1.8.12 włącznie. Podatność wynika z niewystarczającego oczyszczania danych wejściowych i braku odpowiedniego kodowania wyjścia.

Ocena ryzyka

Nieuwierzytelniony atakujący może wstrzyknąć dowolny skrypt JavaScript, który wykona się w przeglądarce ofiary po kliknięciu w spreparowany link. Ryzyko obejmuje kradzież sesji, przekierowania do złośliwych stron lub kradzież danych wrażliwych.

Rekomendacja

Należy natychmiast zaktualizować wtyczkę VikBooking do wersji nowszej niż 1.8.12, gdy tylko producent udostępni łatkę. Do czasu aktualizacji zaleca się tymczasowe wyłączenie shortcodu [vikbooking view="roomslist"] lub ograniczenie dostępu do stron go używających.

Oryginalny opis (angielski, źródło NVD)

The VikBooking Hotel Booking Engine & PMS plugin for WordPress is vulnerable to Reflected Cross-Site Scripting via the 'layoutstyle' parameter in all versions up to, and including, 1.8.12 due to insufficient input sanitization and output escaping. This makes it possible for unauthenticated attackers to inject arbitrary web scripts in pages that execute if they can successfully trick a user into performing an action such as clicking on a link. Exploitation requires the targeted page to render the [vikbooking view="roomslist"] shortcode, as the vulnerable layoutstyle parameter is only processed in that view context.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS