Platform
wordpress
Component
embed-calendly-scheduling
Opgelost in
4.4.1
CVE-2026-0868 describes a Stored Cross-Site Scripting (XSS) vulnerability found in the EMC – Easily Embed Calendly Scheduling Features plugin for WordPress. This vulnerability allows authenticated attackers with contributor-level access or higher to inject arbitrary web scripts. The vulnerability affects versions up to and including 4.4, and a fix is available in version 4.5.
De plugin EMC – Easily Embed Calendly Scheduling Features voor WordPress is kwetsbaar voor een persistente Cross-Site Scripting (XSS)-kwetsbaarheid. Deze kwetsbaarheid zit in de manier waarop de plugin gebruikersinvoer verwerkt binnen de Calendly shortcode, wat versies tot en met 4.4 treft. Onvoldoende invoervalidatie en output-escaping stellen een geauthenticeerde aanvaller (met contributor-rechten of hoger) in staat om willekeurige webscripts in pagina's te injecteren. Wanneer een gebruiker een geïnjecteerde pagina bezoekt, wordt het kwaadaardige script uitgevoerd, wat kan leiden tot diefstal van informatie, manipulatie van pagina's of accountovername.
Een aanvaller met contributor- of hogere rechten op een WordPress-site die de plugin EMC – Easily Embed Calendly Scheduling Features gebruikt, kan deze kwetsbaarheid misbruiken. De aanvaller zou kwaadaardige JavaScript-code injecteren in een attribuut van de Calendly shortcode. Deze code zou in de WordPress-database worden opgeslagen en elke keer worden uitgevoerd wanneer een gebruiker de gewijzigde pagina bezoekt. De relatieve eenvoud waarmee contributor-rechten op sommige sites te verkrijgen zijn, in combinatie met het wijdverbreide gebruik van plugins zoals deze, maakt deze kwetsbaarheid aanzienlijk.
Exploit Status
EPSS
0.01% (1% percentiel)
CISA SSVC
CVSS-vector
De meest effectieve mitigatie is het updaten van de plugin EMC – Easily Embed Calendly Scheduling Features naar de nieuwste beschikbare versie (hoger dan 4.4). De plugin-ontwikkelaars hebben een update uitgebracht die deze kwetsbaarheid aanpakt door een correcte invoervalidatie en output-escaping te implementeren. Controleer bovendien WordPress-pagina's die de Calendly shortcode gebruiken om eventuele geïnjecteerde kwaadaardige code te identificeren en te verwijderen. Het toepassen van het principe van minimale privileges, waarbij gebruikers alleen de noodzakelijke rechten hebben, kan het risico ook verminderen. Het regelmatig bijwerken van WordPress en alle plugins blijft een fundamentele beveiligingspraktijk.
Update naar versie 4.5, of een nieuwere gepatchte versie
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
XSS is een type beveiligingskwetsbaarheid waarmee aanvallers kwaadaardige scripts in websites kunnen injecteren die door andere gebruikers worden bekeken. Deze scripts kunnen informatie stelen, doorverwijzen naar kwaadaardige websites of de inhoud van de pagina wijzigen.
Als u de plugin EMC – Easily Embed Calendly Scheduling Features in versies vóór 4.4 gebruikt, is uw website waarschijnlijk kwetsbaar. Controleer pagina's die de Calendly shortcode gebruiken op verdachte code.
Wijzig onmiddellijk de wachtwoorden van alle gebruikers met administrator- en contributor-rechten. Scan uw website op malware en verwijder eventuele gevonden kwaadaardige code. Overweeg om een schone back-up van uw website te herstellen.
Er zijn verschillende WordPress-kwetsbaarheidsscanners die deze kwetsbaarheid kunnen detecteren. U kunt ook de broncode van pagina's die de Calendly shortcode gebruiken handmatig controleren.
U kunt de nieuwste versie van de plugin EMC – Easily Embed Calendly Scheduling Features vinden in het WordPress-pluginrepository of op de website van de ontwikkelaar.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.