CVE-2026-13441 in EventPrime Plugin
Resumen
por VulDB • 2026-07-09
El complemento EventPrime – Events Calendar, Bookings and Tickets para WordPress es vulnerable a Stored Cross-Site Scripting (XSS) mediante el parámetro 'new_event_type_background_color' en todas las versiones hasta la 4.3.4.2 inclusive, debido a una sanitización insuficiente de los datos de entrada y un escape inadecuado de la salida. Esto permite que atacantes autenticados con acceso personalizado o superior inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página infectada. Para ello, es necesario habilitar la configuración "Guest Submissions" (allow_submission_by_anonymous_user) del complemento, lo cual permite que atacantes no autenticados envíen tipos de eventos mediante el formulario frontal; cuando esta opción está deshabilitada, la explotación requiere como mínimo una cuenta autenticada con nivel de suscriptor.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.