CVE-2026-12098— PowerPress Podcasting插件 11.16.8 及以下版本存储型XSS漏洞
Possible ATT&CK Techniques 3AI
T1071 · Application Layer Protocol T1059 · Command and Scripting Interpreter T1189 · Drive-by CompromiseAffected Version Matrix 1
| ベンダー | プロダクト | Version Range | ステータス |
|---|---|---|---|
| blubrry | PowerPress Podcasting plugin by Blubrry | ≤ 11.16.8 | affected |
新しい脆弱性情報の通知を購読するログインして購読
I. CVE-2026-12098の基本情報
脆弱性情報
脆弱性についてご質問がありますか?Shenlongの分析が参考になるかご確認ください!
Shenlongの10の質問を表示 ↗ 高度な大規模言語モデル技術を使用していますが、出力には不正確または古い情報が含まれる可能性があります。Shenlongはデータの正確性を確保するよう努めていますが、実際の状況に基づいて検証・判断してください。
脆弱性タイトル
PowerPress Podcasting plugin by Blubrry <= 11.16.8 - Authenticated (Author+) Stored Cross-Site Scripting via 'embed' Episode Meta Field
ソース: NVD (National Vulnerability Database)
脆弱性説明
The PowerPress Podcasting plugin by Blubrry plugin for WordPress is vulnerable to Stored Cross-Site Scripting via 'embed' Episode Meta Field in all versions up to, and including, 11.16.8 due to insufficient input sanitization and output escaping. This makes it possible for authenticated attackers, with author-level access and above, to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page. The embed value is stored via update_post_meta() rather than through WordPress core's post content pipeline, meaning kses-on-save filtering is never applied — even for Author-role users who would otherwise lack unfiltered_html — making this path unprotected by WordPress's standard role-based XSS mitigations.
ソース: NVD (National Vulnerability Database)
CVSS情報
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N
ソース: NVD (National Vulnerability Database)
脆弱性タイプ
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
ソース: NVD (National Vulnerability Database)
影響を受ける製品
| ベンダー | プロダクト | 影響を受けるバージョン | CPE | 購読 |
|---|---|---|---|---|
| blubrry | PowerPress Podcasting plugin by Blubrry | 0 ~ 11.16.8 | - |
II. CVE-2026-12098の公開POC
| # | POC説明 | ソースリンク | Shenlongリンク |
|---|
AI生成POCプレミアム
公開POCは見つかりませんでした。
ログインしてAI POCを生成III. CVE-2026-12098のインテリジェンス情報
请登录查看更多情报信息。
CVE-2026-12098 补丁与修复 (1)
CVE-2026-12098 其他参考 (1)
IV. 関連脆弱性
- CVE-2026-2988
Blubrry PowerPress <= 11.15.15 - Authenticated (Contributor+ - CVE-2025-13536
Blubrry PowerPress <= 11.15.2 - Authenticated (Contributor+) - CVE-2024-9227
PowerPress Podcasting < 11.9.18 - Author+ XSS - CVE-2024-9230
PowerPress Podcasting < 11.9.18 - Author+ XSS via Podcast UR - CVE-2024-9543
Powerpress <= 11.9.18 - Authenticated (Contributor+) Stored
同じベンダー: blubrry
- CVE-2026-2988
Blubrry PowerPress <= 11.15.15 - Authenticated (Contributor+ - CVE-2026-32351
WordPress PowerPress Podcasting plugin <= 11.15.13 - Cross S - CVE-2026-23798
WordPress PowerPress Podcasting plugin <= 11.15.10 - PHP Obj - CVE-2025-13536
Blubrry PowerPress <= 11.15.2 - Authenticated (Contributor+) - CVE-2025-64201
WordPress PowerPress Podcasting plugin <= 11.13.12 - Cross S
同じ弱点: CWE-79
- CVE-2026-32208
Microsoft Edge (Chromium-based) Spoofing Vulnerability - CVE-2026-12621
Cross-Site Scripting (XSS) Vulnerability in Password Reset R - CVE-2026-12619
GridTime™ 3000 GNSS Time Server CSRF to XSS - CVE-2026-12430
Blocksy Companion <= 2.1.45 - Authenticated (Editor+) Stored - CVE-2026-12157
BetterDocs <= 4.5.3 - Authenticated (Contributor+) Stored Cr
V. CVE-2026-12098へのコメント
まだコメントはありません