Katalog CVE

CVE-2026-13704

ŚrednieCVSS 6.4
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.24%

Percentyl 14 — wyżej niż 14% wszystkich znanych CVE

Streszczenie

Wtyczka GiveWP dla WordPressa jest podatna na trwałe ataki XSS poprzez parametr 'sequoia[introduction][image]' w wersjach do 4.16.1 włącznie. Podatność wynika z niedostatecznego oczyszczania danych wejściowych i wyjściowych.

Ocena ryzyka

Uwierzytelniony atakujący z dostępem na poziomie Give Worker lub wyższym może wstrzyknąć dowolny skrypt, który wykona się przy każdej wizycie użytkownika na zainfekowanej stronie. Może to prowadzić do kradzieży sesji, defacementu lub przejęcia konta administratora.

Rekomendacja

Należy natychmiast zaktualizować wtyczkę GiveWP do wersji 4.16.2 lub nowszej. Ograniczyć przywileje użytkowników do niezbędnego minimum i regularnie audytować role dostępu.

Oryginalny opis (angielski, źródło NVD)

The GiveWP – Donation Plugin and Fundraising Platform plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the 'sequoia[introduction][image]' parameter in all versions up to, and including, 4.16.1 due to insufficient input sanitization and output escaping. This makes it possible for authenticated attackers, with Give Worker-level access and above, to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS