CVE-2026-3297: Sårbarhed i WordPress Pagelayer
WordPress-plugin Pagelayer har en fejl, der lader indloggede brugere plante skadelig kode på din hjemmeside.
Hvad er det?
CVE-2026-3297 er en såkaldt Stored Cross-Site Scripting (XSS)-sårbarhed i WordPress-pluginet Pagelayer – Drag and Drop website builder (version 2.0.9 og tidligere). XSS betyder, at en angriber kan gemme ondsindet kode (JavaScript) direkte på din hjemmeside. Koden aktiveres automatisk, hver gang en besøgende åbner den inficerede side – uden at hverken du eller din gæst opdager det. Fejlen ligger i en funktion kaldet Anchor block, som ikke tjekker brugerinput grundigt nok, inden det gemmes og vises på siden.
Hvem rammer det?
Sårbarheden rammer dig, hvis din virksomheds WordPress-hjemmeside bruger pluginet Pagelayer i version 2.0.9 eller tidligere. Det kræver, at en angriber allerede har adgang til en brugerkonto på din hjemmeside med mindst bidragyder-niveau (contributor). Det kan for eksempel være:
- En freelancer eller tidligere ansat med en gammel brugerkonto
- En angriber, der har gættet eller stjålet en medarbejders adgangskode
- En bruger, der er oprettet via en utilsigtet åben registreringsfunktion
Hvad kan ske?
Hvis sårbarheden udnyttes, kan en angriber plante skjult kode på dine sider, der rammer alle besøgende. Konsekvenserne kan være:
- Tyveri af sessionsdata (cookies) – angriberen kan overtage besøgendes eller administrators login
- Omdirigering til falske sider – dine kunder sendes videre til phishing-sider eller sider med malware
- Skade på omdømme – din hjemmeside bruges til at sprede skadelig kode til dine kunder
- Datalekkage – oplysninger, som brugerne indtaster på siden, kan opsnappes
Da koden er gemt på serveren (og ikke kun sendt i et link), rammer den alle, der besøger den inficerede side.
Hvor alvorligt er det?
Sårbarheden er vurderet til CVSS 6.4 – Moderat. Det betyder, at den ikke er kritisk, men den bør tages seriøst. Angrebet kræver en eksisterende brugerkonto med begrænset adgang (contributor), hvilket sænker risikoen en smule. Til gengæld kræver det ingen teknisk kompleksitet, og angrebet kan udføres over internettet uden interaktion fra offeret. Særligt bekymrende er det, at koden rammer alle besøgende på den inficerede side – ikke kun én person.
Hvad gør jeg nu?
Følg disse trin for at beskytte din hjemmeside hurtigst muligt:
- Opdater Pagelayer-pluginet til den nyeste version via WordPress-dashboardet under Plugins → Tilgængelige opdateringer.
- Gennemgå dine WordPress-brugerkonti – slet eller deaktivér konti tilhørende tidligere ansatte, freelancere eller andre, der ikke længere skal have adgang.
- Tjek om registrering af nye brugere er slået til under Indstillinger → Generelt, og deaktivér det, hvis det ikke er nødvendigt.
- Gennemgå sider oprettet med Pagelayer for mistænkeligt indhold, særligt i Anchor-blokke.
- Skift adgangskoder for alle WordPress-brugere med contributor-adgang eller højere, hvis du mistænker, at konti kan være kompromitteret.
Opdatér inden for 7 dage
Opdatér Pagelayer-pluginet til den nyeste version hurtigst muligt – det er den eneste fulde løsning. Kombiner opdateringen med en hurtig gennemgang af dine brugerkonti, så du lukker den mest sandsynlige angrebsvej. Har du ikke ressourcer til at håndtere dette selv, så kontakt os – vi kan hjælpe dig med at opdatere og sikre din WordPress-installation.
Tidslinje
Konkrete eksempler
Tidligere freelancer udnytter sin gamle konto
En webredaktør, der tidligere har skrevet blogindlæg for din virksomhed, har stadig en aktiv contributor-konto på din WordPress-side. Vedkommende redigerer en eksisterende side via Pagelayer og indsætter et skadeligt JavaScript-stykke i en Anchor-blok. Herefter stjæler koden session-cookies fra alle administratorer, der besøger siden – og giver angriberen fuld adgang til din WordPress-backend.
Automatiseret scanning og phishing-omdirigering
En angriber bruger et automatiseret værktøj til at finde WordPress-sider med sårbare versioner af Pagelayer. Efter at have oprettet eller overtaget en contributor-konto injiceres kode på din forside, der omdirigerer besøgende til en falsk betalingsside. Dine kunder tror, de er på din hjemmeside, men afgiver i stedet betalingsoplysninger til angriberen.
Skjult sporing af kundeadfærd
En konkurrent eller ondsindet aktør med contributor-adgang indsætter et usynligt JavaScript via Pagelayers Anchor-blok på en produktside. Koden logger al tekst, som besøgende skriver på siden – for eksempel i kontaktformularer eller søgefelter – og sender dataene til en ekstern server. Angrebet kan køre ubemærket i uger, inden det opdages.
Ofte stillede spørgsmål
Skal jeg være bekymret, selvom min hjemmeside er lille og ukendt?
Ja, det bør du tage seriøst. Angribere scanner automatisk internettet for sårbare plugins – det er ikke målrettede angreb mod din virksomhed specifikt. Hjemmesidens størrelse er derfor ikke afgørende. Det vigtigste er, om du kører en sårbar version af Pagelayer.
Hvad er en contributor-bruger, og har min hjemmeside sådanne?
En contributor (bidragyder) er en WordPress-brugerrolle, der typisk gives til bloggere eller skribenter, som kan skrive indhold, men ikke publicere det selv. Tjek dine brugere under Brugere → Alle brugere i WordPress-dashboardet, og vurder om alle konti stadig er nødvendige.
Kan jeg se, om min hjemmeside allerede er blevet angrebet?
Det kan være svært at se med det blotte øje. Du kan gennemse dine Pagelayer-sider for ukendt eller mistænkeligt kode i redigeringsvisningen. Derudover kan et sikkerhedsplugin som Wordfence hjælpe med at scanne for skadelig kode. Kontakt os, hvis du er usikker – vi kan foretage en grundig gennemgang.
Hjælper det at have et sikkerhedsplugin installeret?
Et sikkerhedsplugin kan hjælpe med at opdage og blokere visse typer angreb, men det er ikke en erstatning for at opdatere sårbare plugins. Den bedste beskyttelse er at holde alle plugins opdaterede og begrænse antallet af brugerkonti med unødvendige rettigheder.
Gælder fejlen kun Pagelayer, eller er andre page builder-plugins også ramt?
Denne specifikke sårbarhed (CVE-2026-3297) gælder udelukkende Pagelayer i version 2.0.9 og tidligere. Andre page builder-plugins som Elementor, Divi eller WPBakery er ikke berørt af netop denne fejl – men de kan have egne sårbarheder, som du bør holde øje med ved at holde dem opdaterede.
Hvad sker der, hvis jeg ikke kan opdatere Pagelayer med det samme?
Hvis du ikke kan opdatere med det samme, bør du som minimum deaktivere pluginet midlertidigt i WordPress-dashboardet under Plugins. Det vil påvirke dit sidelayout, men eliminerer risikoen, indtil du kan foretage en ordentlig opdatering. Overvej også at fjerne eller suspendere contributor-brugerkonti i mellemtiden.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
The Page Builder: Pagelayer – Drag and Drop website builder plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the Anchor block in versions up to, and including, 2.0.9 due to insufficient input sanitization and output escaping. This makes it possible for authenticated attackers, with contributor-level access and above, to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
