CVE-2026-1856 - Appointment Booking Calendar <= 1.4.4 - Authenticated (Author+) Stored Cross-Site Scripting via Custom Booking Field Label
Özet
Bu kayıt, hedef sistemde bulunan bir zafiyeti detaylandırmaktadır. Zafiyet 2026-06-19 tarihinde yayınlanmış olup, topluluktan 130 görüntülenme almıştır. web uygulamaları kategorisinde sınıflandırılmıştır. Kullanıcıların teknik detaylar için Detay sekmesindeki kaynak kodunu incelemeleri önerilir.
Zafiyet Ozet Bilgileri
Zafiyet Detayi (Turkce)
WordPress için Randevu Rezervasyon Takvimi eklentisi, yetersiz giriş temizleme ve çıkış kaçışı nedeniyle 1.4.4'e kadar (1.4.4 dahil) tüm sürümlerde özel rezervasyon alanı etiketleri aracılığıyla Saklanan Siteler Arası Komut Dosyasına karşı savunmasızdır. Bu, Yazar düzeyi ve üzeri erişime sahip kimliği doğrulanmış saldırganların, kullanıcı enjekte edilen bir sayfaya eriştiğinde yürütülecek olan sayfalara rastgele web komut dosyaları eklemesine olanak tanır.
Orijinal Aciklama (Ingilizce)
The Appointment Booking Calendar plugin for WordPress is vulnerable to Stored Cross-Site Scripting via custom booking field labels in all versions up to, and including, 1.4.4 due to insufficient input sanitization and output escaping. This makes it possible for authenticated attackers, with Author-level access and above, to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page.
Kaynak Kodu İndir
Çevrimdışı analiz ve test için exploit kaynak kodunu indirin.
Şimdi İndirDosya Boyutu: ~2.9 KB | MD5: 3b892c8466a2a8e60ce497abbb0a8daa
Galeri görseli bulunmuyor.
Henüz tartışma başlatılmamış.