CVE-2026-9643
WysokieCVSS 7.2Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 15 — wyżej niż 15% wszystkich znanych CVE
Streszczenie
Wtyczka WP Meta SEO dla WordPressa jest podatna na nieuwierzytelniony atak XSS (stored cross-site scripting) poprzez zmienną serwerową REQUEST_URI. Podatność występuje we wszystkich wersjach do 4.5.18 włącznie, gdzie dane z nagłówka HTTP_HOST i REQUEST_URI są bezpośrednio wstawiane do bazy danych bez odpowiedniego oczyszczenia.
Ocena ryzyka
Atakujący może wstrzyknąć złośliwy skrypt, który wykona się w przeglądarce administratora podczas przeglądania strony 404 i przekierowań w panelu administracyjnym WordPressa. Może to prowadzić do kradzieży sesji, modyfikacji treści lub dalszej eskalacji uprawnień.
Rekomendacja
Należy natychmiast zaktualizować wtyczkę WP Meta SEO do najnowszej dostępnej wersji, która zawiera poprawkę zabezpieczającą. Do czasu aktualizacji warto rozważyć tymczasowe wyłączenie wtyczki lub zastosowanie reguł Web Application Firewall (WAF) blokujących podejrzane żądania.
Oryginalny opis (angielski, źródło NVD)
The WP Meta SEO plugin for WordPress is vulnerable to Unauthenticated Stored Cross-Site Scripting via the REQUEST_URI server variable in all versions up to, and including, 4.5.18. When the plugin's `wpmsTemplateRedirect()` hook detects a 404, it concatenates `$_SERVER['HTTP_HOST']` with the raw `$_SERVER['REQUEST_URI']` and inserts that value verbatim into the `wp_wpms_links.link_url` column via `$wpdb->insert()`. This makes it possible for unauthenticated attackers to inject arbitrary web scripts that execute whenever an administrator views the plugin's 404 & Redirects admin page (`/wp-admin/admin.php?page=metaseo_broken_link`).

