CVE-2026-13441 in EventPrime Plugin
الملخص
بحسب VulDB • 11/07/2026
يحتوي مكون WordPress الإضافي EventPrime – Events Calendar, Bookings and Tickets على ثغرة من نوع Stored Cross-Site Scripting (XSS) عبر المعلمة 'new_event_type_background_color' في جميع الإصدارات حتى 4.3.4.2 وشاملة لها، وذلك بسبب عدم كفاية تنقية المدخلات وإخراج الهروب منها. وهذا يتيح للمهاجمين المصادق عليهم ذوي الصلاحيات على مستوى مخصص وما فوق حقن نصوص برمجية ويب تعسفية في الصفحات التي سيتم تنفيذها كلما قام مستخدم بالوصول إلى صفحة تم حقنها فيها. يتطلب ذلك تفعيل إعداد "إرسال الضيوف" (Guest Submissions) للمكون الإضافي (allow_submission_by_anonymous_user)، مما يسمح لمهاجمين غير مصادق عليهم بتقديم أنواع الأحداث عبر النموذج الأمامي؛ وعندما يكون هذا الإعداد معطلاً، تتطلب عملية الاستغلال على الأقل حسابًا مُصادَق عليه بمستبقي (subscriber-level).
If you want to get best quality of vulnerability data, you may have to visit VulDB.