Gratis scannen
Analyse in behandelingCVE-2026-2396

CVE-2026-2396: XSS in List View Google Calendar

Platform

wordpress

Component

list-view-google-calendar

Opgelost in

7.4.4

Bekijk op NVD
Opslaan

CVE-2026-2396 beschrijft een Stored Cross-Site Scripting (XSS) kwetsbaarheid in de WordPress plugin 'List View Google Calendar'. Deze kwetsbaarheid stelt geauthenticeerde aanvallers met beheerdersrechten in staat om schadelijke webscripts te injecteren in pagina's. De kwetsbaarheid treft versies van de plugin van 0.0.0 tot en met 7.4.3. Een fix is beschikbaar in versie 7.4.4.

WordPress

Detecteer deze CVE in je project

Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.

Gratis scannen

Impact en Aanvalsscenarios

Een succesvolle exploitatie van deze XSS-kwetsbaarheid kan leiden tot het uitvoeren van willekeurige JavaScript-code in de context van de gebruiker die de geïnjecteerde pagina bekijkt. Dit kan worden gebruikt om sessiecookies te stelen, gebruikers om te leiden naar kwaadaardige websites, of om de gebruikersinterface van de website te manipuleren. Aangezien de kwetsbaarheid vereist dat de aanvaller administrator-level toegang heeft, is de potentiële impact aanzienlijk, met name in omgevingen waar beheerdersaccounts worden gedeeld of gecompromitteerd. De impact is beperkter tot multi-site installaties en installaties waar unfiltered_html is uitgeschakeld, wat de aanvalsmogelijkheden enigszins beperkt.

Uitbuitingscontext

Op dit moment is er geen publieke exploitatie van CVE-2026-2396 bekend. De kwetsbaarheid is gepubliceerd op 2026-04-14 en de CVSS score is MEDIUM (4.4). Er is geen vermelding op KEV of EPSS. Het is aan te raden om de plugin zo snel mogelijk te patchen om potentiële risico's te minimaliseren.

Dreigingsinformatie

Exploit Status

Proof of ConceptOnbekend
CISA KEVNO
InternetblootstellingHoog

EPSS

0.03% (10% percentiel)

CVSS-vector

DREIGINGSINFORMATIE· CVSS 3.1CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:C/C:L/I:L/A:N4.4MEDIUMAttack VectorNetworkHoe de aanvaller het doel bereiktAttack ComplexityHighVereiste omstandigheden om te exploiterenPrivileges RequiredHighVereist authenticatieniveau voor aanvalUser InteractionNoneOf het slachtoffer actie moet ondernemenScopeChangedImpact buiten het getroffen onderdeelConfidentialityLowRisico op blootstelling van gevoelige dataIntegrityLowRisico op ongeautoriseerde gegevenswijzigingAvailabilityNoneRisico op verstoring van dienstennextguardhq.com · CVSS v3.1 Basisscore
Wat betekenen deze metrics?
Attack Vector
Netwerk — op afstand uitbuitbaar via internet. Geen fysieke of lokale toegang vereist.
Attack Complexity
Hoog — vereist een race condition, niet-standaard configuratie of specifieke omstandigheden.
Privileges Required
Hoog — beheerder of geprivilegieerd account vereist.
User Interaction
Geen — automatische en stille aanval. Slachtoffer doet niets.
Scope
Gewijzigd — aanval kan voorbij het kwetsbare component uitbreiden naar andere systemen.
Confidentiality
Laag — gedeeltelijke toegang tot enkele gegevens.
Integrity
Laag — aanvaller kan enkele gegevens met beperkte omvang aanpassen.
Availability
Geen — geen beschikbaarheidsimpact.

Getroffen Software

Componentlist-view-google-calendar
Leverancierwordfence
Minimumversie0.0.0
Maximumversie7.4.3
Opgelost in7.4.4

Zwakheidsclassificatie (CWE)

CWE-79

Tijdlijn

  1. Gepubliceerd
  2. Gewijzigd
  3. EPSS bijgewerkt

Mitigatie en Workarounds

De primaire mitigatie voor CVE-2026-2396 is het upgraden van de 'List View Google Calendar' plugin naar versie 7.4.4 of hoger. Indien een upgrade momenteel niet mogelijk is, overweeg dan het tijdelijk uitschakelen van de plugin om het risico te verminderen. In multi-site installaties, beperk de toegang tot het bewerken van gebeurtenissen tot vertrouwde gebruikers. Controleer de WordPress-configuratie om te bevestigen dat unfiltered_html is uitgeschakeld, aangezien dit de kwetsbaarheid kan beperken. Na de upgrade, controleer de plugin-instellingen en bekijk de gebeurtenisbeschrijvingen op verdachte scripts.

Hoe te verhelpen

Update naar versie 7.4.4, of een nieuwere gepatchte versie

Veelgestelde vragen

Wat is CVE-2026-2396 — XSS in List View Google Calendar?

CVE-2026-2396 is een Stored Cross-Site Scripting (XSS) kwetsbaarheid in de WordPress plugin 'List View Google Calendar' die het mogelijk maakt voor geauthenticeerde aanvallers om schadelijke scripts te injecteren.

Am I affected by CVE-2026-2396 in List View Google Calendar?

Ja, als u de 'List View Google Calendar' plugin gebruikt in versie 0.0.0 tot en met 7.4.3, bent u kwetsbaar voor deze XSS-kwetsbaarheid, vooral in multi-site installaties.

How do I fix CVE-2026-2396 in List View Google Calendar?

Upgrade de 'List View Google Calendar' plugin naar versie 7.4.4 of hoger om de kwetsbaarheid te verhelpen. Indien een upgrade niet mogelijk is, schakel de plugin tijdelijk uit.

Is CVE-2026-2396 being actively exploited?

Op dit moment is er geen publieke exploitatie van CVE-2026-2396 bekend, maar het is belangrijk om de plugin zo snel mogelijk te patchen.

Where can I find the official List View Google Calendar advisory for CVE-2026-2396?

Raadpleeg de WordPress plugin directory of de website van de plugin-ontwikkelaar voor de officiële advisory en release notes voor versie 7.4.4.

Is jouw project getroffen?

Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.

Gratis scannenCVEs zoeken
WordPress

Detecteer deze CVE in je project

Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.

Gratis scannen
livefree scan

Scan nu uw WordPress project — geen account

Upload een manifest (composer.lock, package-lock.json, WordPress pluginlijst…) of plak uw componentenlijst. U ontvangt direct een kwetsbaarheidsrapport. Een bestand uploaden is slechts het begin: met een account krijgt u continue monitoring, Slack/e-mail alerts, multi-project en white-label rapporten.

Manual scanSlack/email alertsscanZone.capMonitorWhite-label reports

Sleep uw afhankelijkheidsbestand hierheen

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...