CVE-2026-8089
WysokieCVSS 7.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 11 — wyżej niż 11% wszystkich znanych CVE
Streszczenie
Wtyczka weMail: Email Marketing dla WooCommerce WordPress przed wersją 2.1.3 nieprawidłowo przetwarza parametry dostarczane przez użytkownika, co prowadzi do możliwości ataku typu Reflected Cross-Site Scripting (XSS) na uwierzytelnionych użytkowników.
Ocena ryzyka
Atakujący mogą wykorzystać tę podatność do wykonania złośliwego kodu JavaScript w przeglądarkach uwierzytelnionych użytkowników, w tym administratorów, co może prowadzić do kradzieży danych lub przejęcia sesji.
Rekomendacja
Zaleca się aktualizację wtyczki weMail do wersji 2.1.3 lub nowszej, aby usunąć tę podatność.
Oryginalny opis (angielski, źródło NVD)
The weMail: Email Marketing, Email Automation, Newsletters, Subscribers & Email Optins for WooCommerce WordPress plugin before 2.1.3 does not properly escape a user-supplied parameter before reflecting it into an HTML attribute on a non-nonce-protected AJAX response, allowing unauthenticated attackers to deliver Reflected Cross-Site Scripting against any authenticated user (including administrators) via a crafted URL.

