Katalog CVE

CVE-2026-2387

ŚrednieCVSS 6.4
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.16%

Percentyl 5 — wyżej niż 5% wszystkich znanych CVE

Streszczenie

Wtyczka Event Organiser dla WordPressa jest podatna na przechowywany atak XSS we wszystkich wersjach do 3.12.9 włącznie. Podatność wynika z akceptowania przez shortcode 'eo_events' kontrolowanej przez atakującego treści 'no_events' i renderowania jej w szablonach list wydarzeń bez odpowiedniego escapingu wyjścia.

Ocena ryzyka

Uwierzytelnieni atakujący z dostępem na poziomie Współautora lub wyższym mogą wstrzykiwać dowolne skrypty webowe na stronach, które wykonają się przy każdym dostępie użytkownika do zainfekowanej strony, co może prowadzić do kradzieży sesji, przekierowań lub innych szkodliwych działań.

Rekomendacja

Należy natychmiast zaktualizować wtyczkę Event Organiser do najnowszej dostępnej wersji, która usuwa tę podatność, oraz ograniczyć uprawnienia użytkowników do niezbędnego minimum.

Oryginalny opis (angielski, źródło NVD)

The Event Organiser plugin for WordPress is vulnerable to Stored Cross-Site Scripting in all versions up to, and including, 3.12.9. This is due to the 'eo_events' shortcode accepting attacker-controlled 'no_events' content and rendering it in event list templates without output escaping. This makes it possible for authenticated attackers, with Contributor-level access and above, to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS