CVE-2025-11197

MITJÀ (6,4)

CVSS3: 0,0

El connector Draft List per a WordPress és vulnerable a una injecció indirecta de scripts emmagatzemats a través del codi curt “drafts” del connector en totes les versions fins a la 2.6.1 inclosa, a causa d’un sanejament insuficient de l’entrada i de l’output escaping en els atributs proporcionats per l’usuari. Això permet que els atacants autenticats, amb accés de nivell de contribuïdor o superior, injectin scripts web arbitraris a les pàgines que s’executaran sempre que un usuari accedeixi a una pàgina injectada.

Sistemes Afectats

• dartiss Draft List

Remediació
Actualització a una versió superior a la 2.6.1. Vegeu-ne les Referències.

Referències

• https://www.wordfence.com/threat-intel/vulnerabilities/id/4711e3d5-b70c-413e-97e7-6d2e93e8217e?source=cve
• https://github.com/dartiss/draft-list/pull/81/files
• https://plugins.trac.wordpress.org/changeset?sfp_email=&sfph_mail=&reponame=&old=3376385%40simple-draft-list&new=3376385%40simple-draft-list&sfp_email=&sfph_mail=
• https://raw.githubusercontent.com/CVEProject/cvelistV5/main/cves/2025/11xxx/CVE-2025-11197.json