PT-2025-52734 · WordPress · Wordpress Calendar
Trung Hieu
·
Publicado
2025-12-23
·
Atualizado
2025-12-23
·
CVE-2025-14548
CVSS v3.1
6.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N |
Nome do Software Vulnerável e Versões Afetadas
Versões do plugin Calendar do WordPress anteriores à 1.3.17
Descrição
O plugin Calendar para WordPress está suscetível a Cross-Site Scripting Armazenado. Isso se deve à sanitização de entrada e escape de saída insuficientes no parâmetro
event desc. Atacantes autenticados com acesso de nível de Contribuidor ou superior podem injetar scripts web arbitrários em páginas. Esses scripts serão executados quando um usuário acessar a página injetada, desde que um administrador tenha habilitado usuários de privilégios inferiores para gerenciar eventos do calendário através das configurações do plugin.Recomendações
Atualize o plugin Calendar para a versão 1.3.17 ou posterior.
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Wordpress Calendar