CVE-2026-8378
ŚrednieCVSS 5.4Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 5 — wyżej niż 5% wszystkich znanych CVE
Streszczenie
Wtyczka Frontend File Manager dla WordPressa do wersji 23.6 nie sanitizuje ani nie ucieka od nazwy pliku przesyłanej do punktu końcowego zmiany nazwy pliku, co prowadzi do podatności na przechowywane ataki Cross-Site Scripting.
Ocena ryzyka
Użytkownicy z dostępem na poziomie Subskrybenta i wyżej mogą wykorzystać tę podatność, co stwarza ryzyko dla administratorów przeglądających interfejs zarządzania plikami.
Rekomendacja
Zaleca się aktualizację wtyczki do najnowszej wersji oraz wdrożenie dodatkowych środków bezpieczeństwa, aby ograniczyć dostęp do funkcji zmiany nazwy plików.
Oryginalny opis (angielski, źródło NVD)
The Frontend File Manager Plugin WordPress plugin through 23.6 does not sanitise nor escape a filename submitted to the frontend file-rename endpoint before storing it as post meta and rendering it back on the admin File Manager listing, leading to a Stored Cross-Site Scripting vulnerability exploitable by users with Subscriber-level access and above against an administrator viewing the file management interface.

