Katalog CVE

CVE-2026-8896

ŚrednieCVSS 6.4
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.19%

Percentyl 8 - wyżej niż 8% wszystkich znanych CVE

Streszczenie

Wtyczka MIR blocks and shortcodes dla WordPressa jest podatna na przechowywane ataki XSS przez atrybut 'title' oraz inne atrybuty (np. 'ready_animation_text') shortcodu 'msc_stats' w wersjach do 1.0.0 włącznie. Podatność wynika z niedostatecznego oczyszczania danych wejściowych i braku odpowiedniego kodowania wyjścia w funkcji renderującej msc_stats().

Ocena ryzyka

Uwierzytelnieni atakujący z dostępem na poziomie współautora lub wyższym mogą wstrzykiwać dowolne skrypty webowe na stronach, które wykonają się przy każdym dostępie użytkownika do zainfekowanej strony, co może prowadzić do kradzieży sesji, przekierowań lub innych szkodliwych działań.

Rekomendacja

Należy natychmiast zaktualizować wtyczkę MIR blocks and shortcodes do najnowszej dostępnej wersji, która usuwa tę podatność. Jeśli aktualizacja nie jest dostępna, należy tymczasowo wyłączyć wtyczkę lub usunąć shortcode 'msc_stats' z treści stron.

Oryginalny opis (angielski, źródło NVD)

The MIR blocks and shortcodes plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the 'title' attribute (and other attributes such as 'ready_animation_text') of the 'msc_stats' shortcode in versions up to, and including, 1.0.0. This is due to insufficient input sanitization and output escaping on user supplied shortcode attributes inside the msc_stats() rendering function. This makes it possible for authenticated attackers, with contributor-level access and above, to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS