CVE-2026-13704
ŚrednieCVSS 6.4Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 14 — wyżej niż 14% wszystkich znanych CVE
Streszczenie
Wtyczka GiveWP dla WordPressa jest podatna na trwałe ataki XSS poprzez parametr 'sequoia[introduction][image]' w wersjach do 4.16.1 włącznie. Podatność wynika z niedostatecznego oczyszczania danych wejściowych i wyjściowych.
Ocena ryzyka
Uwierzytelniony atakujący z dostępem na poziomie Give Worker lub wyższym może wstrzyknąć dowolny skrypt, który wykona się przy każdej wizycie użytkownika na zainfekowanej stronie. Może to prowadzić do kradzieży sesji, defacementu lub przejęcia konta administratora.
Rekomendacja
Należy natychmiast zaktualizować wtyczkę GiveWP do wersji 4.16.2 lub nowszej. Ograniczyć przywileje użytkowników do niezbędnego minimum i regularnie audytować role dostępu.
Oryginalny opis (angielski, źródło NVD)
The GiveWP – Donation Plugin and Fundraising Platform plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the 'sequoia[introduction][image]' parameter in all versions up to, and including, 4.16.1 due to insufficient input sanitization and output escaping. This makes it possible for authenticated attackers, with Give Worker-level access and above, to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page.

