CVE-2026-13441 in EventPrime Plugininformación

Resumen

por VulDB • 2026-07-09

El complemento EventPrime – Events Calendar, Bookings and Tickets para WordPress es vulnerable a Stored Cross-Site Scripting (XSS) mediante el parámetro 'new_event_type_background_color' en todas las versiones hasta la 4.3.4.2 inclusive, debido a una sanitización insuficiente de los datos de entrada y un escape inadecuado de la salida. Esto permite que atacantes autenticados con acceso personalizado o superior inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página infectada. Para ello, es necesario habilitar la configuración "Guest Submissions" (allow_submission_by_anonymous_user) del complemento, lo cual permite que atacantes no autenticados envíen tipos de eventos mediante el formulario frontal; cuando esta opción está deshabilitada, la explotación requiere como mínimo una cuenta autenticada con nivel de suscriptor.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsable

Wordfence

Reservar

2026-06-26

Divulgación

2026-07-09

Moderación

aceptado

Artículo

VDB-377180

CPE

listo

EPSS

0.00000

KEV

no

Actividades

muy bajo

Fuentes

Interested in the pricing of exploits?

See the underground prices here!