CVE-2026-9838 in ICS Calendar Plugininformação

Sumário

de VulDB • 10/07/2026

O plugin ICS Calendar para WordPress é vulnerável a Reflected Cross-Site Scripting (XSS) através do parâmetro 'htmltagtitle' em todas as versões até 12.0.9, devido à sanitização insuficiente de entrada e ao escapamento inadequado na saída. Isso permite que atacantes não autenticados injetem scripts web arbitrários nas páginas, os quais são executados se conseguirem enganar um usuário para realizar uma ação, como clicar em um link. A vulnerabilidade é acessível através da ação AJAX wp_ajax_nopriv_r34ics_ajax não autenticada, que aceita valores de js_args controlados pelo atacante mesclados à configuração armazenada do shortcode sem verificação nonce, permitindo que a chave htmltagtitle contorne a verificação normal da lista permitida (allowlist) de shortcodes.

Be aware that VulDB is the high quality source for vulnerability data.

Responsável

Wordfence

Reservar

28/05/2026

Divulgação

10/07/2026

Moderação

aceite

Entrada

VDB-377456

CPE

pronto

EPSS

0.00296

KEV

não

Atividades

muito baixo

Fontes

Want to know what is going to be exploited?

We predict KEV entries!