CVE-2026-2396: XSS in List View Google Calendar
Platform
wordpress
Component
list-view-google-calendar
Opgelost in
7.4.4
CVE-2026-2396 is a stored Cross-Site Scripting (XSS) vulnerability affecting the List View Google Calendar plugin for WordPress. This vulnerability allows authenticated attackers, specifically those with administrator-level access, to inject arbitrary web scripts. The issue stems from insufficient input sanitization and output escaping within the event description field, impacting versions up to 7.4.3. A patch is available in version 7.4.4.
Detecteer deze CVE in je project
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Impact en Aanvalsscenarios
CVE-2026-2396 in de List View Google Calendar plugin voor WordPress vormt een risico van opgeslagen Cross-Site Scripting (XSS). Het beïnvloedt versies tot en met 7.4.3 en stelt geauthenticeerde aanvallers met administratorrechten in staat om kwaadaardige webscripts in gebeurtenisbeschrijvingen te injecteren. Deze scripts worden uitgevoerd telkens een gebruiker een pagina met de geïnjecteerde beschrijving bezoekt. Deze kwetsbaarheid treft specifiek multi-site installaties en die waarbij de optie 'unfiltered_html' is ingeschakeld, waardoor het aanvalsoppervlak wordt vergroot. Scriptinjectie kan leiden tot diefstal van sessiecookies, kwaadaardige doorverwijzingen of wijziging van inhoud, waardoor de beveiliging van de website en gebruikersgegevens in gevaar komt.
Uitbuitingscontext
Een aanvaller met administratorrechten in een multi-site WordPress-installatie, waarbij 'unfilteredhtml' is ingeschakeld, kan deze kwetsbaarheid uitbuiten. De aanvaller zou een kwaadaardig script injecteren in het beschrijvingsveld van een Google Calendar-gebeurtenis. Wanneer een gebruiker met toegang tot die kalender (of een lijstweergave die deze weergeeft) de pagina bezoekt, wordt het script in de browsercontext van de gebruiker uitgevoerd. Dit stelt de aanvaller in staat om gevoelige informatie, zoals sessiecookies, te stelen of acties namens de gebruiker uit te voeren. Het ontbreken van een goede invoervalidatie in de plugin maakt deze injectie mogelijk. De kwetsbaarheid is versie-specifiek en afhankelijk van de instelling 'unfilteredhtml'.
Dreigingsinformatie
Exploit Status
EPSS
0.03% (10% percentiel)
CVSS-vector
Wat betekenen deze metrics?
- Attack Vector
- Netwerk — op afstand uitbuitbaar via internet. Geen fysieke of lokale toegang vereist.
- Attack Complexity
- Hoog — vereist een race condition, niet-standaard configuratie of specifieke omstandigheden.
- Privileges Required
- Hoog — beheerder of geprivilegieerd account vereist.
- User Interaction
- Geen — automatische en stille aanval. Slachtoffer doet niets.
- Scope
- Gewijzigd — aanval kan voorbij het kwetsbare component uitbreiden naar andere systemen.
- Confidentiality
- Laag — gedeeltelijke toegang tot enkele gegevens.
- Integrity
- Laag — aanvaller kan enkele gegevens met beperkte omvang aanpassen.
- Availability
- Geen — geen beschikbaarheidsimpact.
Getroffen Software
Zwakheidsclassificatie (CWE)
Tijdlijn
- Gepubliceerd
- Gewijzigd
- EPSS bijgewerkt
Mitigatie en Workarounds
De aanbevolen oplossing is om de List View Google Calendar plugin onmiddellijk te updaten naar versie 7.4.4 of hoger. Deze update bevat de nodige fixes om de XSS-kwetsbaarheid te verhelpen. Daarnaast wordt aanbevolen om de optie 'unfiltered_html' in WordPress uit te schakelen, tenzij dit absoluut noodzakelijk is, omdat dit het risico op XSS-aanvallen aanzienlijk vergroot. Het implementeren van een Content Security Policy (CSP) kan een extra beveiligingslaag bieden door de controle over de bronnen die de browser kan laden, waardoor de potentiële impact van een succesvolle XSS-aanval wordt verminderd. Regelmatige beveiligingsaudits en het up-to-date houden van alle plugins en de WordPress-core zijn essentiële beveiligingspraktijken.
Hoe te verhelpen
Update naar versie 7.4.4, of een nieuwere gepatchte versie
Veelgestelde vragen
Wat is CVE-2026-2396 — Cross-Site Scripting (XSS) in List View Google Calendar?
XSS (Cross-Site Scripting) is een type beveiligingskwetsbaarheid waarmee aanvallers kwaadaardige scripts in legitieme websites kunnen injecteren. Deze scripts worden in de browser van de gebruiker uitgevoerd, waardoor de aanvaller mogelijk informatie kan stelen, inhoud kan wijzigen of acties namens de gebruiker kan uitvoeren.
Ben ik getroffen door CVE-2026-2396 in List View Google Calendar?
Het updaten naar versie 7.4.4 of hoger verhelpt de XSS-kwetsbaarheid en beschermt uw website tegen potentiële aanvallen.
Hoe los ik CVE-2026-2396 in List View Google Calendar op?
'unfiltered_html' stelt gebruikers in staat om HTML-code in te voeren zonder filtering. Hoewel dit in sommige gevallen nuttig kan zijn, vergroot het het risico op XSS-aanvallen als het niet zorgvuldig wordt behandeld.
Wordt CVE-2026-2396 actief misbruikt?
Een CSP is een beveiligingsmechanisme waarmee websitebeheerders de controle kunnen uitoefenen over de bronnen die de browser kan laden, waardoor de potentiële impact van een XSS-aanval wordt verminderd.
Waar vind ik het officiële List View Google Calendar-beveiligingsadvies voor CVE-2026-2396?
Als u een versie van de List View Google Calendar plugin gebruikt die ouder is dan 7.4.4 en 'unfiltered_html' heeft ingeschakeld, is uw website kwetsbaar. Werk zo snel mogelijk bij.
Is jouw project getroffen?
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Detecteer deze CVE in je project
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Scan nu uw WordPress project — geen account
Upload een manifest (composer.lock, package-lock.json, WordPress pluginlijst…) of plak uw componentenlijst. U ontvangt direct een kwetsbaarheidsrapport. Een bestand uploaden is slechts het begin: met een account krijgt u continue monitoring, Slack/e-mail alerts, multi-project en white-label rapporten.
Sleep uw afhankelijkheidsbestand hierheen
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...