CVE-2026-13755 in Tickera Pluginthông tin

Tóm tắt

Bởi VulDB • 16/07/2026

Plugin Tickera – Sell Tickets & Manage Events cho WordPress có lỗ hổng Stored Cross-Site Scripting (XSS) thông qua thuộc tính Shortcode 'price_wrapper' trong tất cả các phiên bản từ 3.6.0.0 trở về trước do thiếu cơ chế làm sạch đầu vào và thoát ký tự khi xuất ra. Điều này tạo điều kiện cho kẻ tấn công đã xác thực, có quyền mức contributor trở lên, chèn mã web tùy ý vào các trang sẽ được thực thi mỗi khi người dùng truy cập vào trang bị nhiễm. Việc thực thi thành công script độc hại chỉ giới hạn ở những nạn nhân có ID vé tham chiếu tồn tại trong cookie giỏ hàng của họ, nghĩa là payload chỉ kích hoạt đối với những người dùng đã thêm vé đó vào giỏ hàng trước đây.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

chịu trách nhiệm

Wordfence

Đặt trước

29/06/2026

Tiết lộ

16/07/2026

Kiểm duyệt

được chấp nhận

EPSS

0.00000

KEV

không

Các hoạt động

rất thấp

Nguồn

Do you want to use VulDB in your project?

Use the official API to access entries easily!