CVE-2026-9594
ŚrednieCVSS 4.4Streszczenie
Wtyczka WP Maps dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez parametr 'location_messages' w wersjach do 4.9.4 włącznie, z powodu niewystarczającej sanitizacji wejścia i ucieczki wyjścia. Umożliwia to atakującym z dostępem na poziomie administratora wstrzykiwanie dowolnych skryptów webowych na stronach.
Ocena ryzyka
Atakujący mogą wykorzystać tę podatność do wstrzykiwania złośliwego kodu, co może prowadzić do kradzieży danych użytkowników lub przejęcia sesji. Ryzyko wzrasta, gdy atakujący posiadają uprawnienia do zarządzania lokalizacjami.
Rekomendacja
Zaleca się aktualizację wtyczki WP Maps do najnowszej wersji, aby usunąć tę podatność. Należy również ograniczyć dostęp do uprawnienia 'wpgmp_manage_location' tylko do zaufanych administratorów.
Oryginalny opis (angielski, źródło NVD)
The WP Maps – Google Maps,OpenStreetMap,Mapbox,Store Locator,Listing,Directory & Filters plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the 'location_messages' parameter in all versions up to, and including, 4.9.4 due to insufficient input sanitization and output escaping. This makes it possible for authenticated attackers, with administrator-level access and above, to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page. Exploitation requires the attacker to hold the custom wpgmp_manage_location capability, which is granted to administrators by default but can be assigned to lower-privileged roles via the plugin's Permissions screen.

