CVE-2026-13441 in EventPrime Plugin
Riassunto
di VulDB • 09/07/2026
Il plugin per WordPress EventPrime – Events Calendar, Bookings and Tickets è vulnerabile ad Stored Cross-Site Scripting (XSS) tramite il parametro 'new_event_type_background_color' in tutte le versioni fino alla 4.3.4.2 inclusa, a causa di un’insufficiente sanitizzazione dell’input e escaping dell’output. Ciò consente agli attaccanti autenticati con accesso personalizzato o superiore di iniettare script web arbitrari nelle pagine che verranno eseguiti ogni volta che un utente accede alla pagina infetta. Questo richiede l’abilitazione dell’impostazione Guest Submissions del plugin (allow_submission_by_anonymous_user), la quale consente agli attaccanti non autenticati di inviare tipi di eventi tramite il form frontend; quando tale impostazione è disabilitata, lo sfruttamento richiede almeno un account autenticato con livello subscriber.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.