CVE-2026-13755 in Tickera Plugin
Tóm tắt
Bởi VulDB • 16/07/2026
Plugin Tickera – Sell Tickets & Manage Events cho WordPress có lỗ hổng Stored Cross-Site Scripting (XSS) thông qua thuộc tính Shortcode 'price_wrapper' trong tất cả các phiên bản từ 3.6.0.0 trở về trước do thiếu cơ chế làm sạch đầu vào và thoát ký tự khi xuất ra. Điều này tạo điều kiện cho kẻ tấn công đã xác thực, có quyền mức contributor trở lên, chèn mã web tùy ý vào các trang sẽ được thực thi mỗi khi người dùng truy cập vào trang bị nhiễm. Việc thực thi thành công script độc hại chỉ giới hạn ở những nạn nhân có ID vé tham chiếu tồn tại trong cookie giỏ hàng của họ, nghĩa là payload chỉ kích hoạt đối với những người dùng đã thêm vé đó vào giỏ hàng trước đây.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.