Katalog CVE

CVE-2026-3722

ŚrednieCVSS 6.4
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

Wtyczka Auto Image Attributes From Filename With Bulk Updater (Add Alt Text, Image Title For Image SEO) dla WordPressa jest podatna na przechowywane Cross-Site Scripting w metadanych załączników we wszystkich wersjach do 4.9 włącznie, z powodu niewystarczającej sanitizacji wejścia i ucieczki wyjścia. Umożliwia to uwierzytelnionym atakującym z dostępem na poziomie autora i wyżej wstrzykiwanie dowolnych skryptów webowych na stronach, które będą wykonywane przy każdym dostępie użytkownika do wstrzykniętej strony.

Ocena ryzyka

Podatność ta stwarza ryzyko dla organizacji, ponieważ może prowadzić do wykonania złośliwego kodu w przeglądarkach użytkowników, co może skutkować kradzieżą danych lub przejęciem sesji. Atakujący mogą wykorzystać tę lukę do manipulacji treścią strony i wprowadzenia użytkowników w błąd.

Rekomendacja

Zaleca się aktualizację wtyczki do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, warto przeprowadzić audyt bezpieczeństwa, aby zidentyfikować i usunąć potencjalnie złośliwe skrypty już wstrzyknięte na stronie.

Oryginalny opis (angielski, źródło NVD)

The Auto Image Attributes From Filename With Bulk Updater (Add Alt Text, Image Title For Image SEO) plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the attachment metadata in all versions up to, and including, 4.9 due to insufficient input sanitization and output escaping. This makes it possible for authenticated attackers, with Author-level access and above, to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS