CVE-2026-9280
ŚrednieCVSS 6.1Streszczenie
Wtyczka Ad Inserter – Ad Manager & AdSense Ads dla WordPress jest podatna na odzwierciedlone ataki Cross-Site Scripting poprzez parametry URL w trybie iframe w wersjach do 2.8.15 włącznie, z powodu niewystarczającej sanitizacji wejścia i ucieczki wyjścia.
Ocena ryzyka
Atakujący bez uwierzytelnienia mogą wstrzykiwać dowolne skrypty webowe na stronach, co może prowadzić do kradzieży danych użytkowników lub przejęcia sesji.
Rekomendacja
Zaleca się aktualizację wtyczki do najnowszej wersji oraz wyłączenie trybu iframe, jeśli nie jest to konieczne.
Oryginalny opis (angielski, źródło NVD)
The Ad Inserter – Ad Manager & AdSense Ads plugin for WordPress is vulnerable to Reflected Cross-Site Scripting via URL Parameters in iframe Mode in all versions up to, and including, 2.8.15 due to insufficient input sanitization and output escaping. This makes it possible for unauthenticated attackers to inject arbitrary web scripts in pages that execute if they can successfully trick a user into performing an action such as clicking on a link. Exploitation requires that iframe mode (AI_OPTION_IFRAME) is enabled on at least one ad block displayed on the targeted page, which is a non-default but supported configuration commonly used for AdSense and JavaScript-based ads.

