CVE-2026-7662
ŚrednieCVSS 6.4Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 9 - wyżej niż 9% wszystkich znanych CVE
Streszczenie
Wtyczka ePaperFlip Publisher dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez atrybut 'publicationid' shortcode'a `epaperflip_embed` w wersjach do 1 włącznie. Problem wynika z niewystarczającej sanitizacji wejścia i ucieczki wyjścia na atrybucie shortcode'a, co pozwala na wstrzykiwanie skryptów webowych.
Ocena ryzyka
Atakujący z poziomem dostępu Contributor lub wyższym może wstrzykiwać dowolne skrypty, które będą wykonywane, gdy użytkownik odwiedzi zainfekowaną stronę. Może to prowadzić do kradzieży danych użytkowników lub przejęcia sesji.
Rekomendacja
Zaleca się aktualizację wtyczki ePaperFlip Publisher do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, warto wdrożyć odpowiednie mechanizmy sanitizacji i walidacji danych wejściowych.
Oryginalny opis (angielski, źródło NVD)
The ePaperFlip Publisher plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the 'publicationid' attribute of the `epaperflip_embed` shortcode in all versions up to, and including, 1. This is due to insufficient input sanitization and output escaping on the shortcode attribute which is injected directly into inline JavaScript. This makes it possible for authenticated attackers, with Contributor-level access and above, to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page.

