CVE-2026-13246
ŚrednieCVSS 6.4Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 15 — wyżej niż 15% wszystkich znanych CVE
Streszczenie
Wtyczka GiveWP dla WordPressa do 4.16.0 zawiera podatność na trwałe XSS przez atrybuty shortcode 'givewp_campaign_comments'. Atakujący z dostępem autora mogą wstrzyknąć dowolny skrypt, który wykona się przy każdej wizycie na zainfekowanej stronie.
Ocena ryzyka
Ryzyko obejmuje przejęcie sesji użytkowników, kradzież danych lub rozprzestrzenianie złośliwego kodu na stronie, co może zaszkodzić reputacji organizacji i narazić dane darczyńców.
Rekomendacja
Zaleca się natychmiastową aktualizację wtyczki GiveWP do wersji 4.16.1 lub nowszej oraz ograniczenie uprawnień autorów do minimum.
Oryginalny opis (angielski, źródło NVD)
The GiveWP – Donation Plugin and Fundraising Platform plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the 'block_id' (and other) shortcode attributes of the 'givewp_campaign_comments' shortcode in versions up to, and including, 4.16.0. This is due to insufficient input sanitization and output escaping on user supplied attributes in CampaignCommentsShortcode::parseAttributes() and BlockRenderController::render(), where the blockId value is interpolated directly into a single-quoted HTML attribute without esc_attr(). This makes it possible for authenticated attackers, with author-level access and above, to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page.

