CVE-2026-8071
WysokieCVSS 8.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 26 - wyżej niż 26% wszystkich znanych CVE
Streszczenie
Wtyczka Anti-Spam by CleanTalk w wersjach przed 6.79 nieprawidłowo sanitizuje treść w niestandardowym shortcode używanym w funkcji kodowania e-maili, co pozwala nieautoryzowanym atakującym na wstrzykiwanie dowolnych skryptów webowych do zatwierdzonych komentarzy, które będą wykonywane przy wyświetlaniu posta przez jakiegokolwiek użytkownika, w tym administratorów.
Ocena ryzyka
Atakujący może wykorzystać tę podatność do wstrzykiwania złośliwego kodu, co stwarza ryzyko przejęcia kontroli nad kontami użytkowników oraz potencjalnego usunięcia lub zmiany danych w systemie.
Rekomendacja
Zaleca się aktualizację wtyczki Anti-Spam by CleanTalk do wersji 6.79 lub nowszej, aby usunąć tę podatność oraz przeprowadzenie audytu bezpieczeństwa zatwierdzonych komentarzy.
Oryginalny opis (angielski, źródło NVD)
The Anti-Spam by CleanTalk. Spam protection WordPress plugin before 6.79 does not properly sanitize content within a custom shortcode used in its email-encoding feature, allowing unauthenticated attackers to inject arbitrary web scripts into approved comments that will execute when any user (including administrators) views the post.

