CVE-2026-6858
WysokieCVSS 7.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 6 - wyżej niż 6% wszystkich znanych CVE
Streszczenie
Wtyczka Transbank Webpay dla WordPressa w wersjach przed 1.14.0 nie sanitizuje i nie ucieka logów do wyświetlenia, co pozwala nieautoryzowanym użytkownikom na przeprowadzenie ataków typu Stored XSS przeciwko zalogowanym administratorom.
Ocena ryzyka
Atakujący może wykorzystać tę podatność do wstrzyknięcia złośliwego kodu JavaScript, co może prowadzić do kradzieży danych administratora lub przejęcia kontroli nad stroną.
Rekomendacja
Zaleca się aktualizację wtyczki Transbank Webpay do wersji 1.14.0 lub nowszej, aby zlikwidować tę podatność.
Oryginalny opis (angielski, źródło NVD)
The Transbank Webpay WordPress plugin before 1.14.0 does not sanitize and escape logs to be displayed, allowing unauthenticated users to perform Stored XSS attacks against logged in administrator

