Kostenlos scannen
Analyse ausstehendCVE-2026-2396

CVE-2026-2396: XSS in List View Google Calendar WordPress Plugin

Plattform

wordpress

Komponente

list-view-google-calendar

Behoben in

7.4.4

Auf NVD ansehen
Speichern

CVE-2026-2396 highlights a Stored Cross-Site Scripting (XSS) vulnerability within the List View Google Calendar plugin for WordPress. This flaw stems from insufficient input sanitization and output escaping when handling event descriptions. Authenticated attackers, specifically those with administrator-level access, can inject malicious web scripts that will execute whenever a user accesses a page containing the injected content. This vulnerability affects versions of the plugin up to and including 7.4.3.

WordPress

Erkenne diese CVE in deinem Projekt

Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.

Kostenlos scannen

Auswirkungen und Angriffsszenarien

The XSS vulnerability allows an authenticated administrator to inject arbitrary JavaScript code into the event description field. When other users view the affected calendar event, the injected script will execute in their browser context. This can lead to various malicious outcomes, including session hijacking, redirection to phishing sites, or defacement of the WordPress site. The vulnerability is limited to multi-site installations and those where unfiltered_html has been disabled, as it requires the ability to inject HTML content. The potential impact is significant, as it can compromise user accounts and the integrity of the WordPress site.

Ausnutzungskontext

CVE-2026-2396 was published on 2026-04-14. The exploitation probability is considered low to medium, as it requires administrator access to the WordPress site. There are currently no publicly known Proof-of-Concept (POC) exploits. The vulnerability is not listed on KEV or EPSS as of this writing. Monitor WordPress security forums and vulnerability databases for updates.

Bedrohungsanalyse

Exploit-Status

Proof of ConceptUnbekannt
CISA KEVNO
Internet-ExponierungHoch

EPSS

0.03% (10% Perzentil)

CVSS-Vektor

BEDROHUNGSANALYSE· CVSS 3.1CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:C/C:L/I:L/A:N4.4MEDIUMAttack VectorNetworkWie der Angreifer das Ziel erreichtAttack ComplexityHighBedingungen zur erfolgreichen AusnutzungPrivileges RequiredHighErforderliche AuthentifizierungsstufeUser InteractionNoneOb ein Opfer eine Aktion ausführen mussScopeChangedAuswirkungen über die Komponente hinausConfidentialityLowRisiko der Offenlegung sensibler DatenIntegrityLowRisiko nicht autorisierter DatenänderungAvailabilityNoneRisiko der Dienstunterbrechungnextguardhq.com · CVSS v3.1 Basis-Score
Was bedeuten diese Metriken?
Attack Vector
Netzwerk — aus der Ferne über das Internet ausnutzbar. Kein physischer oder lokaler Zugriff erforderlich.
Attack Complexity
Hoch — erfordert eine Race-Condition, Nicht-Standard-Konfiguration oder spezifische Umstände.
Privileges Required
Hoch — Administrator- oder Privilegienkonto erforderlich.
User Interaction
Keine — automatischer und lautloser Angriff. Das Opfer tut nichts.
Scope
Geändert — Angriff kann über die anfällige Komponente hinaus auf andere Systeme übergreifen.
Confidentiality
Niedrig — partieller oder indirekter Zugriff auf einige Daten.
Integrity
Niedrig — Angreifer kann einige Daten mit begrenztem Umfang ändern.
Availability
Keine — kein Verfügbarkeitseinfluss.

Betroffene Software

Komponentelist-view-google-calendar
Herstellerwordfence
Mindestversion0.0.0
Höchstversion7.4.3
Behoben in7.4.4

Schwachstellen-Klassifikation (CWE)

CWE-79

Zeitleiste

  1. Veröffentlicht
  2. Geändert
  3. EPSS aktualisiert

Mitigation und Workarounds

The recommended mitigation for CVE-2026-2396 is to immediately update the List View Google Calendar plugin to version 7.4.4 or later, which contains the necessary fix. If an immediate upgrade is not possible, consider disabling the plugin temporarily to prevent further exploitation. Additionally, review any existing calendar events for suspicious content. While a Web Application Firewall (WAF) might offer some protection, it's not a substitute for patching the plugin. After upgrading, verify the fix by attempting to inject a simple JavaScript payload into an event description and confirming that it is properly sanitized and does not execute.

So beheben

Aktualisieren Sie auf Version 7.4.4 oder eine neuere gepatchte Version

Häufig gestellte Fragen

Was ist CVE-2026-2396 — Cross-Site Scripting (XSS) in List View Google Calendar?

It's a Stored XSS vulnerability in the List View Google Calendar WordPress plugin.

Bin ich von CVE-2026-2396 in List View Google Calendar betroffen?

If you use the plugin and are running version 7.4.3 or earlier, you are potentially affected.

Wie behebe ich CVE-2026-2396 in List View Google Calendar?

Upgrade the plugin to version 7.4.4 or later.

Wird CVE-2026-2396 aktiv ausgenutzt?

Currently, there are no publicly known exploits, but it's a potential risk.

Wo finde ich den offiziellen List View Google Calendar-Hinweis für CVE-2026-2396?

Check the WordPress plugin repository and security advisories for updates.

Ist dein Projekt betroffen?

Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.

Kostenlos scannenCVEs suchen
WordPress

Erkenne diese CVE in deinem Projekt

Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.

Kostenlos scannen
liveKostenloser Scan

Scannen Sie jetzt Ihr WordPress-Projekt – kein Konto

Laden Sie ein Manifest hoch (composer.lock, package-lock.json, WordPress Plugin-Liste…) oder fügen Sie Ihre Komponentenliste ein. Sie erhalten sofort einen Schwachstellenbericht. Das Hochladen einer Datei ist nur der Anfang: Mit einem Konto erhalten Sie kontinuierliche Überwachung, Slack/email-Benachrichtigungen, Multi-Projekt- und White-Label-Berichte.

Manueller ScanSlack/E-Mail-AlertsKontinuierliche ÜberwachungWhite-Label-Berichte

Abhängigkeitsdatei hier ablegen

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...