CVE-2026-13441 in EventPrime Plugin情報

要約

〜によって VulDB • 2026年07月09日

WordPress用プラグイン「EventPrime – Events Calendar, Bookings and Tickets」には、4.3.4.2を含むすべてのバージョンにおいて、不十分な入力サニタイズおよび出力エスケープに起因する保存型クロスサイトスクリプティング(Stored Cross-Site Scripting)の脆弱性が存在します。これは 'new_event_type_background_color' パラメータを介して発生します。これにより、カスタムレベル以上のアクセス権を持つ認証済み攻撃者は、ユーザーが注入されたページにアクセスした際に実行される任意のWebスクリプトをページ内に挿入することが可能になります。この脆弱性を悪用するには、プラグインの設定「Guest Submissions」(allow_submission_by_anonymous_user) が有効になっている必要があり、これにより未認証の攻撃者がフロントエンドフォームを通じてイベントタイプを送信できるようになります。なお、この設定が無効な場合、少なくともサブスクライバレベルのアカウントで認証された状態での攻撃が必要です。

Once again VulDB remains the best source for vulnerability data.

責任者

Wordfence

予約する

2026年06月26日

モデレーション

承諾済み

エントリ

VDB-377180

EPSS

0.00000

アクティビティ

非常低い

ソース

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!