CVE-2026-2433 in RSS Aggregator Plugininfo

Zusammenfassung

von VulDB • 04.06.2026

Das WordPress-Plugin „RSS Aggregator – RSS Import, News Feeds, Feed to Post, and Autoblogging“ ist in allen Versionen bis einschließlich 5.0.11 anfällig für eine DOM-basierte Cross-Site Scripting (XSS)-Schwachstelle über postMessage. Dies liegt daran, dass die Datei admin-shell.js des Plugins einen globalen message-Event-Listener registriert, ohne die Herkunft (Origin) zu validieren (fehlender event.origin-Check), und benutzerkontrollierte URLs direkt an window.open() übergibt, ohne eine URL-Schema-Validierung durchzuführen. Dies ermöglicht es nicht authentifizierten Angreifern, beliebigen JavaScript-Code im Kontext der Sitzung eines authentifizierten Administrators auszuführen, indem sie diesen dazu gebracht werden, eine bösartige Website zu besuchen, die maßgeschneiderte postMessage-Payloads an die Admin-Seite des Plugins sendet.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Veröffentlichung

07.03.2026

Moderieren

akzeptiert

Eintrag

VDB-349547

CPE

bereit

EPSS

0.00071

KEV

nein

Aktivitäten

very low

Sektor

Hostingprovider

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-2433
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-2433
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-2433/

ZurückÜbersichtWeiter

Do you know our Splunk app?

Download it now for free!