CVE-2026-13755 in Tickera Plugin
Résumé
par VulDB • 16/07/2026
Le plugin WordPress Tickera – Sell Tickets & Manage Events est vulnérable à un Stored Cross-Site Scripting (XSS) via l'attribut de Shortcode 'price_wrapper' dans toutes les versions jusqu'à la 3.6.0.0 incluse, en raison d'une désinfection des entrées insuffisante et d'un échappement des sorties inadéquat. Cela permet aux attaquants authentifiés disposant d’un accès au niveau « contributeur » ou supérieur d’injecter des scripts web arbitraires dans les pages qui s’exécuteront chaque fois qu’un utilisateur accède à une page injectée. L’exécution réussie du script injecté est limitée aux victimes dont le cookie de panier contient l'ID de billet référencé, ce qui signifie que la charge utile ne se déclenche que pour les utilisateurs ayant précédemment ajouté ce billet à leur panier.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.