Katalog CVE

CVE-2026-13335

ŚrednieCVSS 6.4
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.21%

Percentyl 11 — wyżej niż 11% wszystkich znanych CVE

Streszczenie

Wtyczka Post Map for Google Maps dla WordPressa do wersji 1.2.6 włącznie zawiera podatność na trwałe ataki XSS poprzez pole 'cpm_point' Post Meta. Wynika to z niedostatecznego oczyszczania danych wejściowych i braku odpowiedniego kodowania wyjścia.

Ocena ryzyka

Uwierzytelnieni atakujący z dostępem na poziomie Współautora lub wyższym mogą wstrzykiwać dowolne skrypty, które wykonają się przy każdej wizycie użytkownika na zainfekowanej stronie, co może prowadzić do kradzieży sesji, przekierowań lub kradzieży danych.

Rekomendacja

Niezwłocznie zaktualizuj wtyczkę Post Map for Google Maps do najnowszej dostępnej wersji, która usuwa tę podatność. Jeśli aktualizacja nie jest dostępna, tymczasowo wyłącz wtyczkę.

Oryginalny opis (angielski, źródło NVD)

The CodePeople Post Map for Google Maps plugin for WordPress is vulnerable to Stored Cross-Site Scripting via 'cpm_point' Post Meta in all versions up to, and including, 1.2.6 due to insufficient input sanitization and output escaping. This makes it possible for authenticated attackers, with Contributor-level access and above, to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS