CVE-2026-9278
ŚrednieCVSS 5.4Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 5 — wyżej niż 5% wszystkich znanych CVE
Streszczenie
Wtyczka Form Builder CP dla WordPressa przed wersją 1.2.47 nieprawidłowo sanitizuje wartość konfiguracji formularza przed jej zapisaniem, co umożliwia ataki typu Stored Cross-Site Scripting przez uwierzytelnionych użytkowników z dostępem na poziomie Edytora i wyżej.
Ocena ryzyka
Atakujący może wykorzystać tę podatność do wstrzyknięcia złośliwego skryptu, co zagraża bezpieczeństwu odwiedzających stronę oraz integralności danych.
Rekomendacja
Zaleca się aktualizację wtyczki do najnowszej wersji, aby usunąć tę podatność oraz przeprowadzenie audytu bezpieczeństwa aplikacji.
Oryginalny opis (angielski, źródło NVD)
The Form Builder CP WordPress plugin before 1.2.47 does not properly sanitize a form configuration value before storing it and using it as part of a client-side script execution, allowing authenticated users with Editor-level access and above to perform Stored Cross-Site Scripting attacks against any visitor of a page rendering the affected form, even when the `unfiltered_html` capability is disallowed (e.g. in a multisite network).

