Platform
wordpress
Component
noo-citilights
Opgelost in
3.7.2
CVE-2026-24973 beschrijft een 'Improper Neutralization of Input During Web Page Generation' kwetsbaarheid, specifiek een Reflected Cross-Site Scripting (XSS) probleem in het CitiLights WordPress thema. Deze kwetsbaarheid stelt een aanvaller in staat om kwaadaardige scripts in te voegen via webpagina’s, wat kan leiden tot het stelen van sessiecookies of het manipuleren van gebruikersacties. De kwetsbaarheid treft versies van CitiLights tussen 0.0.0 en 3.7.1, maar is verholpen in versie 3.7.2.
Een succesvolle exploitatie van deze XSS kwetsbaarheid kan aanzienlijke gevolgen hebben voor WordPress websites die het CitiLights thema gebruiken. Een aanvaller kan kwaadaardige JavaScript code injecteren in webpagina's die door het thema worden gegenereerd. Dit kan worden gebruikt om sessiecookies van gebruikers te stelen, waardoor de aanvaller zich als die gebruiker kan voordoen. Verder kan de aanvaller de inhoud van de website manipuleren, gebruikers omleiden naar kwaadaardige websites of andere schadelijke acties uitvoeren. De impact is vooral groot als de website gevoelige informatie bevat of wordt gebruikt voor online transacties.
Deze kwetsbaarheid is openbaar bekend en de details zijn beschikbaar via het NVD. Er zijn momenteel geen meldingen van actieve exploits in de wild, maar de publicatie van de kwetsbaarheid maakt het een aantrekkelijk doelwit voor aanvallers. De CVSS score van 7.1 (HIGH) duidt op een significant risico.
Websites using the CitiLights WordPress theme, particularly those with user-generated content or forms that accept user input without proper sanitization, are at risk. Shared hosting environments where multiple websites share the same server resources are also potentially affected, as a compromise of one site could lead to the compromise of others.
• wordpress / composer / npm:
grep -r "noo-citilights" /var/www/html/wp-content/themes/• wordpress / composer / npm:
wp plugin list | grep citilights• wordpress / composer / npm:
curl -I <vulnerable_url_with_payload> | grep -i content-security-policydisclosure
Exploit Status
EPSS
0.04% (11% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2026-24973 is het upgraden van het CitiLights WordPress thema naar versie 3.7.2 of hoger. Indien een directe upgrade niet mogelijk is, kan een Web Application Firewall (WAF) worden ingezet om XSS aanvallen te detecteren en te blokkeren. Configureer de WAF om input validatie toe te passen en output encoding te gebruiken om de risico's te verminderen. Controleer ook de WordPress plugin configuratie op ongebruikelijke wijzigingen die mogelijk een indicatie zijn van een inbreuk.
Update naar versie 3.7.2, of een nieuwere gepatchte versie
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-24973 is a Reflected XSS vulnerability affecting the CitiLights WordPress theme, allowing attackers to inject malicious scripts via crafted URLs.
You are affected if you are using the CitiLights WordPress theme in versions 0.0.0 through 3.7.1. Upgrade to 3.7.2 or later to resolve the issue.
Upgrade the CitiLights WordPress theme to version 3.7.2 or later. Consider WAF rules as a temporary workaround if immediate upgrade is not possible.
There is currently no indication that CVE-2026-24973 is being actively exploited in the wild.
Refer to the NooTheme website or WordPress plugin repository for the official advisory and update information regarding CVE-2026-24973.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.