CVE-2026-9570
WysokieCVSS 7.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 8 — wyżej niż 8% wszystkich znanych CVE
Streszczenie
Wtyczka Taskbuilder dla WordPressa w wersjach przed 5.0.8 nieprawidłowo sanitizuje parametr URL przed jego wyświetleniem w inline JavaScript na stronie frontendowej z jednym z jej shortcode'ów. To prowadzi do podatności na Reflected Cross-Site Scripting, którą można wykorzystać przeciwko każdemu zalogowanemu użytkownikowi.
Ocena ryzyka
Organizacja może być narażona na ataki XSS, co może prowadzić do kradzieży danych sesji użytkowników oraz innych informacji wrażliwych.
Rekomendacja
Zaleca się aktualizację wtyczki Taskbuilder do wersji 5.0.8 lub nowszej, aby usunąć tę podatność.
Oryginalny opis (angielski, źródło NVD)
The Taskbuilder WordPress plugin before 5.0.8 does not properly sanitise a URL parameter before echoing it into inline JavaScript on a frontend page containing one of its shortcodes, leading to a Reflected Cross-Site Scripting vulnerability that can be triggered against any logged-in user.

