CVE-2026-9060
NiskieCVSS 3.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 8 — wyżej niż 8% wszystkich znanych CVE
Streszczenie
Wtyczka Store Locator dla WordPressa przed wersją 1.6.6 nie sanitizuje i nie ucieka z jednego ze swoich ustawień przed jego zapisaniem i wyświetleniem na stronie administracyjnej, co pozwala użytkownikom z wysokimi uprawnieniami, takim jak administratorzy, na przeprowadzenie ataków typu Stored Cross-Site Scripting.
Ocena ryzyka
Organizacja może być narażona na ataki XSS, które mogą prowadzić do kradzieży danych lub przejęcia konta przez nieautoryzowanych użytkowników, nawet w przypadku zablokowanej możliwości wprowadzania nieprzetworzonego HTML.
Rekomendacja
Zaleca się aktualizację wtyczki Store Locator do wersji 1.6.6 lub nowszej, aby usunąć tę podatność oraz regularne monitorowanie i audytowanie używanych wtyczek.
Oryginalny opis (angielski, źródło NVD)
The Store Locator WordPress plugin before 1.6.6 does not sanitize and escape one of its settings before storing it and outputting it on the Store Locator WordPress plugin before 1.6.6 admin page, allowing high-privileged users such as administrators to perform Stored Cross-Site Scripting attacks even when the `unfiltered_html` capability is disallowed (e.g. in a multisite network where the super admin visits the page).

