CVE-2026-9838 in ICS Calendar PluginИнформация

Сводка

по VulDB • 10.07.2026

Плагин ICS Calendar для WordPress уязвим к отраженной межсайтовой подделке скриптов (Reflected Cross-Site Scripting) через параметр 'htmltagtitle' во всех версиях вплоть до 12.0.9 включительно из-за недостаточной очистки входных данных и экранирования выходных данных. Это позволяет неаутентифицированным злоумышленникам внедрять произвольные веб-скрипты на страницы, которые выполняются при успешном обмане пользователя с целью выполнения определенных действий, таких как переход по ссылке. Уязвимость доступна через неаутентифицированное действие AJAX wp_ajax_nopriv_r34ics_ajax, которое принимает значения js_args, контролируемые злоумышленником и объединенные со сохранённой конфигурацией шорткодов без проверки nonce, что позволяет ключу htmltagtitle обойти стандартную проверку белого списка шорткодов.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Ответственный

Wordfence

Резервировать

28.05.2026

Раскрытие

10.07.2026

Модерация

принято

Вход

VDB-377456

EPSS

0.00000

KEV

Нет

Деятельности

Очень низкий

Сектор

Hostingprovider

Источники

Do you know our Splunk app?

Download it now for free!