CVE-2026-3896 in SiteOrigin Widgets Plugininfo

Zusammenfassung

von VulDB • 27.05.2026

Das Livemesh SiteOrigin Widgets-Plugin für WordPress ist in allen Versionen bis einschließlich 3.9.2 anfällig für Stored Cross-Site Scripting (XSS) über die AJAX-Aktion `lsow_admin_ajax`, aufgrund fehlender Autorisierungsprüfungen und unzureichender Eingabebereinigung. Der AJAX-Handler überprüft zwar einen Nonce, prüft jedoch nicht die Benutzerberechtigungen. Dies ermöglicht es authentifizierten Angreifern mit Subscriber-Level-Zugriff und höher, Plugin-Einstellungen zu ändern und bösartige Skripte einzufügen, die ausgeführt werden, wenn Administratoren die Plugin-Einstellungsseite aufrufen oder wenn ein beliebiger Benutzer die Frontend-Seite besucht.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

Wordfence

Reservieren

10.03.2026

Veröffentlichung

27.05.2026

Moderieren

akzeptiert

Eintrag

VDB-365959

CPE

bereit

EPSS

0.00030

KEV

nein

Aktivitäten

low

Sektor

Hostingprovider

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-3896
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-3896
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-3896/

ZurückÜbersichtWeiter

Want to stay up to date on a daily basis?

Enable the mail alert feature now!