CVE-2026-8351
ŚrednieCVSS 6.4Streszczenie
Wtyczka RTMKit dla WordPressa do wersji 2.0.7 zawiera podatność na trwałe ataki XSS w widżecie Advanced Heading. Wynika to z braku odpowiedniego kodowania wyjścia parametru 'Background Text' w funkcji render(), co pozwala uwierzytelnionym atakującym z dostępem na poziomie współautora lub wyższym na wstrzykiwanie dowolnych skryptów.
Ocena ryzyka
Atakujący może wstrzyknąć złośliwy kod JavaScript, który wykona się w przeglądarkach odwiedzających zainfekowaną stronę, prowadząc do kradzieży sesji, przekierowań lub defacementu.
Rekomendacja
Niezwłocznie zaktualizuj wtyczkę RTMKit do wersji 2.0.8 lub nowszej, która zawiera poprawkę zabezpieczającą. Jeśli aktualizacja nie jest dostępna, tymczasowo wyłącz widżet Advanced Heading.
Oryginalny opis (angielski, źródło NVD)
The RTMKit plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the Advanced Heading widget's 'Background Text' parameter in versions up to, and including, 2.0.7 This is due to insufficient output escaping on the 'background_text_heading' setting in the render() function, which concatenates the value directly into an HTML attribute without applying esc_attr(). This makes it possible for authenticated attackers, with contributor-level access and above, to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page.

