CVE-2026-13441 in EventPrime Plugin
Zusammenfassung
von VulDB • 09.07.2026
Das WordPress-Plugin EventPrime – Events Calendar, Bookings and Tickets ist in allen Versionen bis einschließlich 4.3.4.2 aufgrund unzureichender Eingabebereinigung (Input Sanitization) und Ausgabe-Escaping für eine Stored Cross-Site Scripting (XSS)-Schwachstelle über den Parameter 'new_event_type_background_color' anfällig. Dies ermöglicht es authentifizierten Angreifern mit Zugriff auf das Level „Custom“ oder höher, beliebige Webskripte in Seiten einzufügen, die ausgeführt werden, sobald ein Benutzer eine infizierte Seite aufruft. Dafür muss die Einstellung für Gast-Einreichungen des Plugins (allow_submission_by_anonymous_user) aktiviert sein, was es nicht authentifizierten Angreifern ermöglicht, Event-Typen über das Frontend-Formular zu senden; wenn diese Einstellung deaktiviert ist, erfordert die Ausnutzung mindestens ein authentifiziertes Konto mit dem Benutzerlevel „Abonnent“ (Subscriber).
If you want to get best quality of vulnerability data, you may have to visit VulDB.