Katalog CVE

CVE-2026-2425

ŚrednieCVSS 6.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

Wtyczka hiWeb Migration Simple dla WordPressa jest podatna na odzwierciedlone ataki Cross-Site Scripting poprzez parametr 'new_domain' we wszystkich wersjach do i włącznie z 2.0.0.1, z powodu niewystarczającej sanitizacji wejścia i ucieczki wyjścia. Umożliwia to nieautoryzowanym atakującym wstrzykiwanie dowolnych skryptów webowych na stronach.

Ocena ryzyka

Atakujący mogą wykorzystać tę podatność do wstrzykiwania złośliwych skryptów, co może prowadzić do kradzieży danych administratora lub przejęcia kontroli nad stroną. Ryzyko to zwiększa się, gdy administratorzy są nakłaniani do klikania w złośliwe linki.

Rekomendacja

Zaleca się aktualizację wtyczki do najnowszej wersji, która zawiera poprawki bezpieczeństwa. Dodatkowo, warto wdrożyć mechanizmy ochrony przed atakami XSS oraz edukować administratorów na temat potencjalnych zagrożeń.

Oryginalny opis (angielski, źródło NVD)

The hiWeb Migration Simple plugin for WordPress is vulnerable to Reflected Cross-Site Scripting via the 'new_domain' parameter in all versions up to, and including, 2.0.0.1 due to insufficient input sanitization and output escaping. This makes it possible for unauthenticated attackers to inject arbitrary web scripts in pages that execute if they can successfully trick an administrator into performing an action such as clicking on a link.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS