Platform
wordpress
Component
twentig
Opgelost in
1.9.8
CVE-2026-2602 is een Cross-Site Scripting (XSS) kwetsbaarheid in de Twentig Supercharged Block Editor WordPress plugin. Deze kwetsbaarheid maakt het mogelijk voor aanvallers met Contributor-rechten of hoger om kwaadaardige scripts te injecteren in pagina's, die worden uitgevoerd wanneer een gebruiker de pagina bezoekt. De kwetsbaarheid treft versies tot en met 1.9.7. De kwetsbaarheid is verholpen in versie 2.0.
CVE-2026-2602 in de Twentig Supercharged Block Editor plugin treft versies tot en met 1.9.7. Het stelt geauthenticeerde aanvallers, met een toegangsniveau van Bijdrager of hoger, in staat om willekeurige webscripts in WordPress-pagina's te injecteren. Deze scripts worden uitgevoerd telkens een gebruiker de gecompromitteerde pagina bezoekt, wat kan leiden tot diefstal van gevoelige informatie, manipulatie van de website-inhoud of doorverwijzing van gebruikers naar kwaadaardige websites. De CVSS-score van 6.4 duidt op een gemiddeld risico, wat onmiddellijke aandacht vereist om potentiële aanvallen te voorkomen. Het ontbreken van de juiste invoervalidatie van de 'featuredImageSizeWidth'-parameter is de belangrijkste oorzaak van deze kwetsbaarheid.
Een aanvaller met een toegangsniveau van Bijdrager of hoger kan deze kwetsbaarheid uitbuiten door kwaadaardige JavaScript-code in het veld 'featuredImageSizeWidth' van een pagina te injecteren. Deze code wordt opgeslagen in de database en uitgevoerd in de browser van elke gebruiker die de pagina bezoekt, ongeacht hun machtigingen. De eenvoud van de exploitatie, gecombineerd met de mogelijkheid om alle gebruikers van de site te beïnvloeden, maakt deze kwetsbaarheid aanzienlijk risicovol. De aanvaller kan deze techniek gebruiken om sessiecookies te stelen, gebruikers door te verwijzen naar phishing-sites of zelfs de controle over de website over te nemen.
Exploit Status
EPSS
0.03% (9% percentiel)
CISA SSVC
CVSS-vector
De aanbevolen oplossing is om de Twentig Supercharged Block Editor plugin bij te werken naar versie 2.0 of hoger, die de beveiligingspatch voor CVE-2026-2602 bevat. Als een update niet onmiddellijk mogelijk is, beperk dan de toegang voor gebruikers met een toegangsniveau van Bijdrager of hoger, en beperk hun vermogen om pagina's te bewerken. Het implementeren van een Web Application Firewall (WAF) kan ook helpen bij het detecteren en blokkeren van pogingen tot het injecteren van kwaadaardige scripts. Regelmatige beveiligingsaudits van de website zijn ook cruciaal om potentiële kwetsbaarheden te identificeren en te mitigeren.
Update naar versie 2.0, of een nieuwere gepatchte versie
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
In WordPress, a user with the 'Contributor' role has permission to write and publish posts, but cannot install plugins or themes, or modify site settings.
In the WordPress admin dashboard, go to 'Plugins' and search for 'Twentig Supercharged Block Editor'. The plugin version will be displayed below the plugin name.
A WAF (Web Application Firewall) is a security tool that protects web applications from attacks. Several WAFs are available, both as WordPress plugins and cloud-based services. Research options like Wordfence, Sucuri, or Cloudflare.
While this might reduce the risk, it's not a complete solution. Updating to version 2.0 or higher is the safest way to address the vulnerability.
If you suspect your site has been compromised, immediately change all administrator passwords, scan your site for malware, and restore a clean backup of the site.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.