CVE-2026-13441 in EventPrime Pluginالمعلومات

الملخص

بحسب VulDB • 11/07/2026

يحتوي مكون WordPress الإضافي EventPrime – Events Calendar, Bookings and Tickets على ثغرة من نوع Stored Cross-Site Scripting (XSS) عبر المعلمة 'new_event_type_background_color' في جميع الإصدارات حتى 4.3.4.2 وشاملة لها، وذلك بسبب عدم كفاية تنقية المدخلات وإخراج الهروب منها. وهذا يتيح للمهاجمين المصادق عليهم ذوي الصلاحيات على مستوى مخصص وما فوق حقن نصوص برمجية ويب تعسفية في الصفحات التي سيتم تنفيذها كلما قام مستخدم بالوصول إلى صفحة تم حقنها فيها. يتطلب ذلك تفعيل إعداد "إرسال الضيوف" (Guest Submissions) للمكون الإضافي (allow_submission_by_anonymous_user)، مما يسمح لمهاجمين غير مصادق عليهم بتقديم أنواع الأحداث عبر النموذج الأمامي؛ وعندما يكون هذا الإعداد معطلاً، تتطلب عملية الاستغلال على الأقل حسابًا مُصادَق عليه بمستبقي (subscriber-level).

If you want to get best quality of vulnerability data, you may have to visit VulDB.

مسؤول

Wordfence

حجز

26/06/2026

إفشاء

09/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-377180

EPSS

0.00247

KEV

لا

النشاطات

منخفض جدًا

المصادر

Interested in the pricing of exploits?

See the underground prices here!