Kostenlos scannen
HIGHCVE-2026-3876CVSS 7.2

Das Prismatic Plugin für WordPress ist anfällig für Stored Cross-Site Scripting über den 'prismatic_encoded' Pseudo-Shortcode in allen Versionen bis einschließlich 3.7.3. Dies liegt an unzureichender Eingabevalidierung und Ausgabekodierung für benutzerdefinierte Attribute innerhalb der Funktion 'prismatic_decode'. Dadurch können nicht authentifizierte Angreifer beliebige Web-Skripte in Seiten injizieren, die ausgeführt werden, wenn ein Benutzer auf eine injizierte Seite zugreift, indem er einen Kommentar mit einem craf

Plattform

wordpress

Komponente

prismatic

Behoben in

3.7.4

3.7.4

AI Confidence: highNVDEPSS 0.0%Geprüft: Mai 2026
Auf NVD ansehen
Speichern
Wird in Ihre Sprache übersetzt…

CVE-2026-3876 describes a Stored Cross-Site Scripting (XSS) vulnerability affecting the Prismatic WordPress plugin. This vulnerability allows unauthenticated attackers to inject arbitrary web scripts, potentially leading to account compromise or defacement. The vulnerability impacts versions up to 3.7.3, and a patch is available in version 3.7.4.

WordPress

Erkenne diese CVE in deinem Projekt

Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.

Kostenlos scannen

Auswirkungen und Angriffsszenarien

An attacker can exploit this XSS vulnerability by crafting a malicious 'prismatic_encoded' pseudo-shortcode within a comment and submitting it to a WordPress site using the vulnerable Prismatic plugin. When a user views the comment containing the injected script, the script will execute in their browser context. This can allow the attacker to steal session cookies, redirect the user to a phishing site, or modify the content of the page. The impact is particularly severe because the vulnerability is stored, meaning the malicious script persists until the comment is removed, potentially affecting multiple users over time. This type of XSS is similar to other stored XSS vulnerabilities that have been exploited to compromise WordPress sites and steal user credentials.

Ausnutzungskontext

CVE-2026-3876 was publicly disclosed on 2026-04-16. No public proof-of-concept (PoC) code has been released at the time of writing, but the vulnerability's nature makes it likely that a PoC will emerge. The vulnerability is not currently listed on the CISA KEV catalog. The CVSS score of 7.2 (HIGH) indicates a significant risk, and the ease of exploitation suggests potential for widespread exploitation.

Wer Ist Gefährdetwird übersetzt…

Websites using the Prismatic WordPress plugin, especially those with public comment sections or forums, are at risk. Shared hosting environments where multiple WordPress sites share the same server resources are particularly vulnerable, as a compromise on one site could potentially impact others.

Erkennungsschrittewird übersetzt…

• wordpress / composer / npm:

grep -r 'prismatic_encoded' /var/www/html/wp-content/plugins/prismatic/

• wordpress / composer / npm:

wp plugin list | grep prismatic

• wordpress / composer / npm:

wp plugin update prismatic

• generic web: Inspect comment fields for suspicious shortcode usage, particularly those containing encoded characters.

Angriffszeitlinie

  1. Disclosure

    disclosure

Bedrohungsanalyse

Exploit-Status

Proof of ConceptUnbekannt
CISA KEVNO
Internet-ExponierungHoch

EPSS

0.02% (6% Perzentil)

CISA SSVC

Ausnutzungnone
Automatisierbaryes
Technische Auswirkungpartial

CVSS-Vektor

BEDROHUNGSANALYSE· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N7.2HIGHAttack VectorNetworkWie der Angreifer das Ziel erreichtAttack ComplexityLowBedingungen zur erfolgreichen AusnutzungPrivileges RequiredNoneErforderliche AuthentifizierungsstufeUser InteractionNoneOb ein Opfer eine Aktion ausführen mussScopeChangedAuswirkungen über die Komponente hinausConfidentialityLowRisiko der Offenlegung sensibler DatenIntegrityLowRisiko nicht autorisierter DatenänderungAvailabilityNoneRisiko der Dienstunterbrechungnextguardhq.com · CVSS v3.1 Basis-Score
Was bedeuten diese Metriken?
Attack Vector
Netzwerk — aus der Ferne über das Internet ausnutzbar. Kein physischer oder lokaler Zugriff erforderlich.
Attack Complexity
Niedrig — keine besonderen Bedingungen erforderlich. Zuverlässig ausnutzbar.
Privileges Required
Keine — ohne Authentifizierung ausnutzbar. Keine Zugangsdaten erforderlich.
User Interaction
Keine — automatischer und lautloser Angriff. Das Opfer tut nichts.
Scope
Geändert — Angriff kann über die anfällige Komponente hinaus auf andere Systeme übergreifen.
Confidentiality
Niedrig — partieller oder indirekter Zugriff auf einige Daten.
Integrity
Niedrig — Angreifer kann einige Daten mit begrenztem Umfang ändern.
Availability
Keine — kein Verfügbarkeitseinfluss.

Betroffene Software

Komponenteprismatic
Herstellerwordfence
Betroffener BereichBehoben in
0.0.0 – 3.7.33.7.4
3.7.33.7.4

Paketinformationen

Aktive Installationen
2KNische
Plugin-Bewertung
4.8
Erfordert WordPress
4.7+
Kompatibel bis
7.0
Erfordert PHP
5.6.20+
Website

Schwachstellen-Klassifikation (CWE)

CWE-79

Zeitleiste

  1. Reserviert
  2. Veröffentlicht
  3. Geändert
  4. EPSS aktualisiert

Mitigation und Workarounds

The primary mitigation for CVE-2026-3876 is to upgrade the Prismatic WordPress plugin to version 3.7.4 or later. If an immediate upgrade is not possible due to compatibility issues or breaking changes, consider temporarily disabling the Prismatic plugin to prevent new comment submissions. Web Application Firewalls (WAFs) configured to detect and block XSS payloads targeting shortcodes might offer some protection, but this is not a substitute for patching. Review existing WordPress comments for suspicious 'prismaticencoded' shortcodes and remove any found. After upgrading, verify the fix by attempting to submit a comment containing a crafted 'prismaticencoded' shortcode and confirming that the script does not execute.

So beheben

Aktualisieren Sie auf Version 3.7.4 oder eine neuere gepatchte Version

CVE-Sicherheitsnewsletter

Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.

Häufig gestellte Fragenwird übersetzt…

What is CVE-2026-3876 — Cross-Site Scripting in Prismatic WordPress Plugin?

CVE-2026-3876 is a Stored XSS vulnerability in the Prismatic WordPress plugin, allowing attackers to inject malicious scripts via the 'prismatic_encoded' shortcode.

Am I affected by CVE-2026-3876 in Prismatic WordPress Plugin?

You are affected if you are using Prismatic WordPress plugin versions prior to 3.7.4. Check your plugin version and upgrade immediately.

How do I fix CVE-2026-3876 in Prismatic WordPress Plugin?

Upgrade the Prismatic WordPress plugin to version 3.7.4 or later. If immediate upgrade is not possible, disable the plugin as a temporary workaround.

Is CVE-2026-3876 being actively exploited?

There are currently no known active campaigns exploiting CVE-2026-3876, but prompt remediation is still recommended.

Where can I find the official Prismatic advisory for CVE-2026-3876?

Refer to the Prismatic plugin's official website or WordPress plugin repository for the latest advisory and update information.

Ist dein Projekt betroffen?

Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.

Kostenlos scannenCVEs suchen