Katalog CVE

CVE-2026-6268

Wysokie
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Motyw WordPress EventPress przed wersją 22.2 nie sanitizuje ani nie ucieka parametru 'id' w obsłudze AJAX eventpress_customizer_notify_dismiss_action, co pozwala na ataki typu Reflected Cross-Site Scripting na zalogowanych użytkowników.

Ocena ryzyka

Atakujący mogą wykorzystać tę podatność do wstrzykiwania złośliwego kodu JavaScript, co może prowadzić do kradzieży sesji użytkowników lub innych działań niepożądanych.

Rekomendacja

Zaleca się aktualizację motywu EventPress do wersji 22.2 lub nowszej, aby usunąć tę podatność.

Oryginalny opis (angielski, źródło NVD)

The EventPress WordPress theme before 22.2 does not sanitize or escape the 'id' parameter in the eventpress_customizer_notify_dismiss_action AJAX handler before outputting it back in the response, allowing unauthenticated attackers to perform Reflected Cross-Site Scripting attacks against logged-in users.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS