Katalog CVE

CVE-2026-53740

ŚrednieCVSS 5.4
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.03%

Percentyl 9 — wyżej niż 9% wszystkich znanych CVE

Streszczenie

Wtyczka Yoast Duplicate Post w wersji do 4.6 wprowadza nieosłonięty tytuł posta i permalink do powiadomienia o zaplanowanym ponownym opublikowaniu w klasycznym edytorze. Atakujący mogą zaplanować ponowne opublikowanie kopii z przygotowanym tytułem, aby wykonać skrypt, gdy administrator wyświetli wynikowe powiadomienie.

Ocena ryzyka

Podatność ta może prowadzić do wykonania złośliwego skryptu w kontekście administratora, co stwarza ryzyko przejęcia kontroli nad systemem lub kradzieży danych.

Rekomendacja

Zaleca się aktualizację wtyczki Yoast Duplicate Post do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, warto monitorować i ograniczać dostęp do funkcji edytora dla użytkowników z niższymi uprawnieniami.

Oryginalny opis (angielski, źródło NVD)

Yoast Duplicate Post through 4.6 inserts an unescaped post title and permalink into the Classic Editor scheduled republish notice. Attackers can schedule a republish copy with a crafted title to execute script when an administrator views the resulting notice.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS