CVE-2026-3896 in SiteOrigin Widgets PluginИнформация

Сводка

по VulDB • 27.05.2026

В плагине Livemesh SiteOrigin Widgets для WordPress уязвимость к Stored Cross-Site Scripting (XSS) через действие AJAX `lsow_admin_ajax` присутствует во всех версиях вплоть до 3.9.2 включительно из-за отсутствия проверок авторизации и недостаточной очистки входных данных. Обработчик AJAX проверяет nonce, но не проверяет права пользователя. Это позволяет атакующим с уровнем доступа Subscriber и выше изменять настройки плагина и внедрять вредоносные скрипты, которые выполняются, когда администраторы открывают страницу настроек плагина или когда любой пользователь посещает фронтенд.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Ответственный

Wordfence

Резервировать

10.03.2026

Раскрытие

27.05.2026

Модерация

принято

Вход

VDB-365959

CPE

готов

CWE

CWE-862 (Подтверждённый)

CVSS

6.4 (CNA)

EPSS

0.00030

KEV

Нет

Деятельности

Низкий

Сектор

Hostingprovider

Источники

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-3896
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-3896
CVE Details	https://www.cvedetails.com/cve/CVE-2026-3896/

◂ Предыдущий Обзор Далее ▸

Might our Artificial Intelligence support you?

Check our Alexa App!