CVE-2026-2602 in Twentig Supercharged Block Editor Plugin
Zusammenfassung (Englisch)
The Twentig plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the 'featuredImageSizeWidth' parameter in versions up to, and including, 1.9.7 due to insufficient input sanitization and output escaping. This makes it possible for authenticated attackers, with Contributor-level access and above, to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page.
Zuständig
Wordfence
Reservieren
16.02.2026
Veröffentlichung
29.03.2026
Einträge
| Veröffentlicht | Base | Temp | Schwachstelle | CWE | Prod | Aus | Mas | EPSS | CTI | CVE |
|---|---|---|---|---|---|---|---|---|---|---|
| 29.03.2026 | 4.9 | 4.9 | Twentig Supercharged Block Editor Plugin Parameter Cross Site Scripting | 79 | WordPress Plugin | Nicht definiert | Nicht definiert | 0.00029 | 8.86- | CVE-2026-2602 |