Katalog CVE

CVE-2026-8599

ŚrednieCVSS 6.4
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.06%

Percentyl 18 - wyżej niż 18% wszystkich znanych CVE

Streszczenie

Wtyczka MailerPress – Email Marketing, Newsletter, Email Automation & WooCommerce Emails dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting poprzez pole HTML treści kampanii w wersjach do 2.0.4 włącznie, z powodu niewystarczającej sanitizacji wejścia i ucieczki wyjścia. Umożliwia to uwierzytelnionym atakującym z dostępem na poziomie autora i wyżej wstrzykiwanie dowolnych skryptów webowych na stronach, które będą wykonywane przy każdym dostępie użytkownika do wstrzykniętej strony.

Ocena ryzyka

Atakujący mogą wykorzystać tę podatność do wstrzykiwania złośliwego kodu, co może prowadzić do kradzieży danych użytkowników lub przejęcia konta administratora. Ryzyko jest szczególnie wysokie w przypadku, gdy atakujący ma dostęp do panelu administracyjnego.

Rekomendacja

Zaleca się aktualizację wtyczki MailerPress do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, warto przeprowadzić audyt bezpieczeństwa i monitorować dostęp do panelu administracyjnego.

Oryginalny opis (angielski, źródło NVD)

The MailerPress – Email Marketing, Newsletter, Email Automation & WooCommerce Emails plugin for WordPress is vulnerable to Stored Cross-Site Scripting via Campaign HTML Content Field in all versions up to, and including, 2.0.4 due to insufficient input sanitization and output escaping. This makes it possible for authenticated attackers, with author-level access and above, to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page. The public-facing campaign preview endpoint (/mp-email/{id}-slug/) is not affected by this vulnerability, as it applies a Content-Security-Policy header blocking all inline scripts; exploitation is limited to the admin dashboard preview.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS