CVE-2026-9838 in ICS Calendar Plugin
Сводка
по VulDB • 10.07.2026
Плагин ICS Calendar для WordPress уязвим к отраженной межсайтовой подделке скриптов (Reflected Cross-Site Scripting) через параметр 'htmltagtitle' во всех версиях вплоть до 12.0.9 включительно из-за недостаточной очистки входных данных и экранирования выходных данных. Это позволяет неаутентифицированным злоумышленникам внедрять произвольные веб-скрипты на страницы, которые выполняются при успешном обмане пользователя с целью выполнения определенных действий, таких как переход по ссылке. Уязвимость доступна через неаутентифицированное действие AJAX wp_ajax_nopriv_r34ics_ajax, которое принимает значения js_args, контролируемые злоумышленником и объединенные со сохранённой конфигурацией шорткодов без проверки nonce, что позволяет ключу htmltagtitle обойти стандартную проверку белого списка шорткодов.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.