CVE-2026-4610
ŚrednieCVSS 6.4Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 10 — wyżej niż 10% wszystkich znanych CVE
Streszczenie
Wtyczka ProfileGrid dla WordPressa zawiera podatność na trwałe ataki XSS poprzez parametr 'pm_author_message' w funkcji pm_send_message_to_author. Problem występuje we wszystkich wersjach do 5.9.9.2 włącznie i wynika z niedostatecznego oczyszczania danych wejściowych oraz braku kodowania wyjścia.
Ocena ryzyka
Uwierzytelnieni atakujący z dostępem na poziomie Subskrybenta lub wyższym mogą wstrzykiwać dowolne skrypty, które wykonają się podczas przeglądania zainfekowanych stron, co może prowadzić do kradzieży sesji, przekierowań lub innych szkodliwych działań.
Rekomendacja
Zaleca się natychmiastową aktualizację wtyczki ProfileGrid do najnowszej dostępnej wersji, która zawiera pełną łatkę. Wersja 5.9.8.5 zawiera tylko częściowe zabezpieczenie, więc konieczna jest pełna aktualizacja.
Oryginalny opis (angielski, źródło NVD)
The ProfileGrid – User Profiles, Groups and Communities plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the 'pm_author_message' parameter in the pm_send_message_to_author function in all versions up to, and including, 5.9.9.2 due to insufficient input sanitization and output escaping. This makes it possible for authenticated attackers, with Subscriber-level access and above, to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page. The vulnerability was partially patched in version 5.9.8.5.

