CRITICAL✓ PATCH🇬🇧 English

CVE-2025-49410

Stored XSS w wtyczce WordPress TC Testimonials (do wersji 1.1.1)

CVSS 10.0v3.1pub. 2025-08-20upd. 2026-04-28

Wtyczka TC Testimonials dla WordPressa w wersji do 1.1.1 zawiera podatność typu Stored XSS, umożliwiającą przechowywanie złośliwego kodu skryptowego po stronie serwera. Podatność otrzymała maksymalny wynik CVSS 10.0, co czyni ją wyjątkowo niebezpieczną.

Pokaż oryginał (EN)

Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') vulnerability in Imran Emu TC Testimonials allows Stored XSS. This issue affects TC Testimonials: from n/a through 1.1.1.

🤖 Analiza AI
Jak działa

Podatność wynika z nieprawidłowej neutralizacji danych wejściowych podczas generowania strony internetowej (CWE-79). Atakujący może wstrzyknąć złośliwy kod JavaScript do pól obsługiwanych przez wtyczkę, który następnie jest trwale zapisywany w bazie danych. Przy każdym wyświetleniu zainfekowanej strony złośliwy skrypt jest wykonywany w przeglądarce ofiary bez jej wiedzy.

Skutki

Atakujący może przejąć sesje zalogowanych użytkowników (w tym administratorów), wykonywać działania w ich imieniu, wykradać dane uwierzytelniające lub wprowadzać nieautoryzowane modyfikacje w witrynie. Ze względu na zmieniony zakres (S:C) skutki mogą wykraczać poza samą aplikację.

Mitygacja

Należy zaktualizować wtyczkę TC Testimonials do wersji wyższej niż 1.1.1. Szczegółowe informacje o dostępnych patchach znajdują się w referencjach producenta oraz w bazie Patchstack.

Kogo dotyczy

Wtyczka WordPress TC Testimonials autorstwa Imran Emu, wersje od początku do 1.1.1 włącznie.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
XSS
CWE
Referencje
CVE-2025-49410 — Stored XSS w wtyczce WordPress TC Testimonials (do wersji 1.1.1) — CRITICAL 10.0 | CVEbaza.pl