CVE-2026-6268
WysokieStreszczenie
Motyw WordPress EventPress przed wersją 22.2 nie sanitizuje ani nie ucieka parametru 'id' w obsłudze AJAX eventpress_customizer_notify_dismiss_action, co pozwala na ataki typu Reflected Cross-Site Scripting na zalogowanych użytkowników.
Ocena ryzyka
Atakujący mogą wykorzystać tę podatność do wstrzykiwania złośliwego kodu JavaScript, co może prowadzić do kradzieży sesji użytkowników lub innych działań niepożądanych.
Rekomendacja
Zaleca się aktualizację motywu EventPress do wersji 22.2 lub nowszej, aby usunąć tę podatność.
Oryginalny opis (angielski, źródło NVD)
The EventPress WordPress theme before 22.2 does not sanitize or escape the 'id' parameter in the eventpress_customizer_notify_dismiss_action AJAX handler before outputting it back in the response, allowing unauthenticated attackers to perform Reflected Cross-Site Scripting attacks against logged-in users.

