CVE-2026-8141
WysokieCVSS 7.2Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 17 — wyżej niż 17% wszystkich znanych CVE
Streszczenie
Wtyczka Ajax Load More - Filters dla WordPressa jest podatna na przechowywany atak XSS przez parametr 'taxonomy_include_children' we wszystkich wersjach do 3.4.1 włącznie. Podatność wynika z niedostatecznego oczyszczania danych wejściowych i braku odpowiedniego kodowania wyjścia.
Ocena ryzyka
Nieuwierzytelniony atakujący może wstrzyknąć dowolny skrypt JavaScript na stronę, który wykona się przy każdym dostępie użytkownika do zainfekowanej strony. Może to prowadzić do kradzieży sesji, przekierowań do złośliwych witryn lub kradzieży danych.
Rekomendacja
Należy natychmiast zaktualizować wtyczkę Ajax Load More - Filters do najnowszej dostępnej wersji, która usuwa tę podatność. Jeśli aktualizacja nie jest dostępna, należy tymczasowo wyłączyć wtyczkę.
Oryginalny opis (angielski, źródło NVD)
The Ajax Load More - Filters plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the 'taxonomy_include_children' parameter in all versions up to, and including, 3.4.1 due to insufficient input sanitization and output escaping. This makes it possible for unauthenticated attackers to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page.

