Katalog CVE

CVE-2026-2382

ŚrednieCVSS 6.4
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

Wtyczka FPW Category Thumbnails dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez parametr 'id' w akcji AJAX 'fpw_fs_get_file' we wszystkich wersjach do 1.9.5 włącznie. Problem wynika z niewystarczającej sanitizacji wejścia i ucieczki wyjścia.

Ocena ryzyka

Atakujący z poziomem dostępu Subskrybenta lub wyższym może wstrzykiwać dowolne skrypty webowe, które będą wykonywane, gdy administrator uzyska dostęp do strony ustawień wtyczki. Może to prowadzić do przejęcia kontroli nad kontem administratora lub kradzieży danych.

Rekomendacja

Zaleca się aktualizację wtyczki do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, warto przeprowadzić audyt bezpieczeństwa wtyczek zainstalowanych na stronie.

Oryginalny opis (angielski, źródło NVD)

The FPW Category Thumbnails plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the 'id' parameter of the 'fpw_fs_get_file' AJAX action in all versions up to, and including, 1.9.5. This is due to insufficient input sanitization and output escaping. This makes it possible for authenticated attackers, with Subscriber-level access and above, to inject arbitrary web scripts in pages that will execute whenever an administrator accesses the plugin's settings page.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS