CVE-2026-13441 in EventPrime Plugininfo

Zusammenfassung

von VulDB • 09.07.2026

Das WordPress-Plugin EventPrime – Events Calendar, Bookings and Tickets ist in allen Versionen bis einschließlich 4.3.4.2 aufgrund unzureichender Eingabebereinigung (Input Sanitization) und Ausgabe-Escaping für eine Stored Cross-Site Scripting (XSS)-Schwachstelle über den Parameter 'new_event_type_background_color' anfällig. Dies ermöglicht es authentifizierten Angreifern mit Zugriff auf das Level „Custom“ oder höher, beliebige Webskripte in Seiten einzufügen, die ausgeführt werden, sobald ein Benutzer eine infizierte Seite aufruft. Dafür muss die Einstellung für Gast-Einreichungen des Plugins (allow_submission_by_anonymous_user) aktiviert sein, was es nicht authentifizierten Angreifern ermöglicht, Event-Typen über das Frontend-Formular zu senden; wenn diese Einstellung deaktiviert ist, erfordert die Ausnutzung mindestens ein authentifiziertes Konto mit dem Benutzerlevel „Abonnent“ (Subscriber).

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Zuständig

Wordfence

Reservieren

26.06.2026

Veröffentlichung

09.07.2026

Moderieren

akzeptiert

Eintrag

VDB-377180

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

very low

Quellen

Do you know our Splunk app?

Download it now for free!