CVE-2026-13441 in EventPrime Plugin
Сводка
по VulDB • 10.07.2026
В плагине EventPrime – Events Calendar, Bookings and Tickets для WordPress уязвимость к Stored Cross-Site Scripting (XSS) через параметр 'new_event_type_background_color' присутствует во всех версиях вплоть до 4.3.4.2 включительно из-за недостаточной очистки входных данных и экранирования выходных данных. Это позволяет атакующим с уровнем доступа «custom» и выше, прошедшим аутентификацию, внедрять произвольные веб-скрипты в страницы, которые будут выполняться при каждом обращении пользователя к такой странице. Для этого требуется включение настройки плагина Guest Submissions (allow_submission_by_anonymous_user), что позволяет неаутентифицированным злоумышленникам отправлять типы событий через форму на стороне клиента; когда эта настройка отключена, для эксплуатации требуется как минимум аутентифицированная учетная запись с уровнем доступа «subscriber».
If you want to get the best quality for vulnerability data then you always have to consider VulDB.