Opasna ranjivost u WordPressPluginu Categories Images omogućava XSS napad
Pronađena je XSS ranjivost u Categories Images WordPress pluginu do verzije 3.3.1 koja omogućava autentificiranim korisnicima ubacivanje zlonamere koda.
Šta se desilo?
Pronađena je ozbiljna ranjivost tipa Stored Cross-Site Scripting (XSS) u WordPress pluginu Categories Images u verzijama do 3.3.1. Ranjivost se nalazi u shortcode-u 'z_taxonomy_image' koji neadekvatno obrađuje korisnički unos, omogućavajući ubacivanje zlonamerne koda koja se izvršava na stranicama veba.
Koga pogađa?
Ugroženi su sajt-ovi i veb-aplikacije koje koriste Categories Images plugin verziju 3.3.1 ili stariju. Napadač mora imati autentifikovan pristup sa dozvolama na nivou Contributor ili više, što čini rizik relevantnim za sajtove sa većim brojem urednika ili saradnika. Uticaj može biti direktan na obične posjetioce sajta koji se izlažu injektovanoj XSS kodu.
Kako se zaštititi?
- Hitno ažurirajte Categories Images plugin na verziju noviju od 3.3.1
- Ako ažuriranje nije moguće, privremeno onemogućite plugin ili ga uklonite sa sajta
- Pregledate sve postojeće shortcode-e sa atributom 'class' i uklonite sve sumnjive
- Ograničite pristup sa Contributor dozvolama samo pouzdanim korisnicima
- Pratite aktivnosti korisnika sa povećanim dozvolama kroz WordPress audit logove
Tehnički detalji
CVE ID: CVE-2026-2505. Ranjivost je tipa Stored XSS koja eksploatira neispravno eskejpovane HTML atribute u shortcode-u 'z_taxonomy_image'. Napadač može koristiti atribut 'class' kako bi injektovao proizvoljan JavaScript kod koji će biti izvršen u kontekstu frontend-a sajta. Potreban je autentifikovan pristup sa dozvolama Contributor nivoa ili više.
Preporuka Sajber Radara
Ako koristite Categories Images plugin, ažuriranje je obavezno čim je moguće. Ovakve ranjivosti omogućavaju napade na veb-sajt i njegovog posjetioce, pa preuzimanje bezbednosnih ispravki predstavlja kritičnu prioritet za sve WordPress sajtove.