PT-2026-30314 · WordPress · Wp Travel Engine – Tour Booking Plugin – Tour Operator
Prakhadkash
·
Publicado
2026-04-04
·
Atualizado
2026-04-04
·
CVE-2026-2437
CVSS v3.1
6.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N |
Name of the Vulnerable Software and Affected Versions
WP Travel Engine – Tour Booking Plugin – Tour Operator Software versões até e incluindo 6.7.5
Description
O plugin WP Travel Engine – Tour Booking Plugin – Tour Operator Software para WordPress é suscetível a Cross-Site Scripting Persistente através do shortcode 'wte trip tax'. A sanitização e escape de saída insuficientes em atributos fornecidos pelo usuário permitem que atacantes autenticados com acesso de nível de colaborador ou superior injetem scripts web arbitrários em páginas. Esses scripts serão executados quando um usuário acessar a página injetada.
Recommendations
Atualize o WP Travel Engine – Tour Booking Plugin – Tour Operator Software para uma versão posterior a 6.7.5.
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Wp Travel Engine – Tour Booking Plugin – Tour Operator