CVE-2026-10089
MEDIUMCVSS v3.1: 6.4 · EPSS: 0.0022 (12.2 パーセンタイル)
出典データ取得時点:
概要
- 深刻度
- MEDIUM
- CVSS
- 6.4 v3.1 · NVD
- EPSS
- 0.0022 (12.2 パーセンタイル) · FIRST.org
- CISA KEV
- 非該当
- タイプ
- XSS · NVD CWE
- 攻撃条件(CVSSベクター)
- ネットワーク操作不要 · 出典: NVD ベクター
- 公開日
- 2026-07-02 · 更新日: 2026-07-02
- 参照情報
- 参照情報へ移動 (8)
CVSS / EPSS / KEV
出典 — CVSS: NVD · EPSS: FIRST.org · KEV: CISA. データと出典
説明
The Insert Pages plugin for WordPress is vulnerable to Stored Cross-Site Scripting via post custom field keys (meta key names) in all versions up to, and including, 3.11.4. This is due to insufficient output escaping in the the_meta() function: while the custom field VALUE is sanitized with wp_kses_post(), the custom field KEY ($key) is interpolated into the rendered HTML (lines 1786-1791) and echoed (line 1806) without any escaping when an inserted page is rendered with the [insert page='ID' display='all'] shortcode. This makes it possible for authenticated attackers, with author-level access and above, to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page.
参照情報
NVDが列挙した参照URLを、リンクのホスト・パターンに対する機械的な一致でグループ化したもの。ラベルはリンクの種別のみを示します。
- 参照 https://plugins.trac.wordpress.org/browser/insert-pages/tags/3.11.3/insert-pages.php#L1771
- 参照 https://plugins.trac.wordpress.org/browser/insert-pages/tags/3.11.3/insert-pages.php#L1789
- 参照 https://plugins.trac.wordpress.org/browser/insert-pages/tags/3.11.3/insert-pages.php#L768
- 参照 https://plugins.trac.wordpress.org/browser/insert-pages/tags/3.11.4/insert-pages.php#L1771
- 参照 https://plugins.trac.wordpress.org/browser/insert-pages/tags/3.11.4/insert-pages.php#L1789
- 参照 https://plugins.trac.wordpress.org/browser/insert-pages/tags/3.11.4/insert-pages.php#L768
- 参照 https://plugins.trac.wordpress.org/changeset/3579298
- ベンダー勧告 https://www.wordfence.com/threat-intel/vulnerabilities/id/a4246181-d331-46b0-ad48-e2ece11b…