Katalog CVE

CVE-2026-8991

ŚrednieCVSS 4.4
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

Wtyczka Drag and Drop Multiple File Upload dla Contact Form 7 w WordPressie jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez ustawienia 'drag_n_drop_text' i 'drag_n_drop_browse_text' w wersjach do 1.3.9.7 włącznie, z powodu niewystarczającej sanitizacji wejścia i ucieczki wyjścia.

Ocena ryzyka

Atakujący z dostępem na poziomie administratora może wstrzykiwać dowolne skrypty webowe, które będą wykonywane, gdy użytkownik odwiedzi zainfekowaną stronę, co stwarza poważne zagrożenie dla bezpieczeństwa danych użytkowników.

Rekomendacja

Zaleca się aktualizację wtyczki do najnowszej wersji, aby usunąć tę podatność oraz przeprowadzenie audytu bezpieczeństwa aplikacji.

Oryginalny opis (angielski, źródło NVD)

The Drag and Drop Multiple File Upload for Contact Form 7 plugin for WordPress is vulnerable to Stored Cross-Site Scripting via 'drag_n_drop_text' and 'drag_n_drop_browse_text' Settings in all versions up to, and including, 1.3.9.7 due to insufficient input sanitization and output escaping. This makes it possible for authenticated attackers, with administrator-level access and above, to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS