CVE-2026-3297
Moderat

CVE-2026-3297: Sårbarhed i WordPress Pagelayer

WordPress-plugin Pagelayer har en fejl, der lader indloggede brugere plante skadelig kode på din hjemmeside.

CVSS Score
6.4
Offentliggjort
13/06/2026
Patch-status
available
Exploit
poc_public
Tidsfrist
Opdatér inden for 7 dage

Hvad er det?

CVE-2026-3297 er en såkaldt Stored Cross-Site Scripting (XSS)-sårbarhed i WordPress-pluginet Pagelayer – Drag and Drop website builder (version 2.0.9 og tidligere). XSS betyder, at en angriber kan gemme ondsindet kode (JavaScript) direkte på din hjemmeside. Koden aktiveres automatisk, hver gang en besøgende åbner den inficerede side – uden at hverken du eller din gæst opdager det. Fejlen ligger i en funktion kaldet Anchor block, som ikke tjekker brugerinput grundigt nok, inden det gemmes og vises på siden.

Hvem rammer det?

Sårbarheden rammer dig, hvis din virksomheds WordPress-hjemmeside bruger pluginet Pagelayer i version 2.0.9 eller tidligere. Det kræver, at en angriber allerede har adgang til en brugerkonto på din hjemmeside med mindst bidragyder-niveau (contributor). Det kan for eksempel være:

  • En freelancer eller tidligere ansat med en gammel brugerkonto
  • En angriber, der har gættet eller stjålet en medarbejders adgangskode
  • En bruger, der er oprettet via en utilsigtet åben registreringsfunktion

Hvad kan ske?

Hvis sårbarheden udnyttes, kan en angriber plante skjult kode på dine sider, der rammer alle besøgende. Konsekvenserne kan være:

  • Tyveri af sessionsdata (cookies) – angriberen kan overtage besøgendes eller administrators login
  • Omdirigering til falske sider – dine kunder sendes videre til phishing-sider eller sider med malware
  • Skade på omdømme – din hjemmeside bruges til at sprede skadelig kode til dine kunder
  • Datalekkage – oplysninger, som brugerne indtaster på siden, kan opsnappes

Da koden er gemt på serveren (og ikke kun sendt i et link), rammer den alle, der besøger den inficerede side.

Hvor alvorligt er det?

Sårbarheden er vurderet til CVSS 6.4 – Moderat. Det betyder, at den ikke er kritisk, men den bør tages seriøst. Angrebet kræver en eksisterende brugerkonto med begrænset adgang (contributor), hvilket sænker risikoen en smule. Til gengæld kræver det ingen teknisk kompleksitet, og angrebet kan udføres over internettet uden interaktion fra offeret. Særligt bekymrende er det, at koden rammer alle besøgende på den inficerede side – ikke kun én person.

Hvad gør jeg nu?

Følg disse trin for at beskytte din hjemmeside hurtigst muligt:

  1. Opdater Pagelayer-pluginet til den nyeste version via WordPress-dashboardet under Plugins → Tilgængelige opdateringer.
  2. Gennemgå dine WordPress-brugerkonti – slet eller deaktivér konti tilhørende tidligere ansatte, freelancere eller andre, der ikke længere skal have adgang.
  3. Tjek om registrering af nye brugere er slået til under Indstillinger → Generelt, og deaktivér det, hvis det ikke er nødvendigt.
  4. Gennemgå sider oprettet med Pagelayer for mistænkeligt indhold, særligt i Anchor-blokke.
  5. Skift adgangskoder for alle WordPress-brugere med contributor-adgang eller højere, hvis du mistænker, at konti kan være kompromitteret.
Tidsfrist

Opdatér inden for 7 dage

Sådan ser Auroa det

Opdatér Pagelayer-pluginet til den nyeste version hurtigst muligt – det er den eneste fulde løsning. Kombiner opdateringen med en hurtig gennemgang af dine brugerkonti, så du lukker den mest sandsynlige angrebsvej. Har du ikke ressourcer til at håndtere dette selv, så kontakt os – vi kan hjælpe dig med at opdatere og sikre din WordPress-installation.

Tidslinje

13/06/2026
CVE offentliggjort
Sårbarheden CVE-2026-3297 blev officielt registreret og offentliggjort i NVD-databasen (National Vulnerability Database).
13/06/2026
Patch tilgængelig
En opdateret version af Pagelayer-pluginet, der retter sårbarheden, blev gjort tilgængelig i WordPress plugin-biblioteket samme dag som offentliggørelsen.
13/06/2026
Proof-of-concept tilgængeligt
Tekniske detaljer og proof-of-concept-eksempler på udnyttelse af sårbarheden er tilgængelige offentligt, hvilket øger risikoen for opportunistiske angreb.
20/06/2026
Anbefalet opdateringsfrist
Auroa anbefaler, at alle berørte kunder har opdateret Pagelayer-pluginet inden denne dato for at minimere eksponeringsvinduet.

Konkrete eksempler

Tidligere freelancer udnytter sin gamle konto

En webredaktør, der tidligere har skrevet blogindlæg for din virksomhed, har stadig en aktiv contributor-konto på din WordPress-side. Vedkommende redigerer en eksisterende side via Pagelayer og indsætter et skadeligt JavaScript-stykke i en Anchor-blok. Herefter stjæler koden session-cookies fra alle administratorer, der besøger siden – og giver angriberen fuld adgang til din WordPress-backend.

Automatiseret scanning og phishing-omdirigering

En angriber bruger et automatiseret værktøj til at finde WordPress-sider med sårbare versioner af Pagelayer. Efter at have oprettet eller overtaget en contributor-konto injiceres kode på din forside, der omdirigerer besøgende til en falsk betalingsside. Dine kunder tror, de er på din hjemmeside, men afgiver i stedet betalingsoplysninger til angriberen.

Skjult sporing af kundeadfærd

En konkurrent eller ondsindet aktør med contributor-adgang indsætter et usynligt JavaScript via Pagelayers Anchor-blok på en produktside. Koden logger al tekst, som besøgende skriver på siden – for eksempel i kontaktformularer eller søgefelter – og sender dataene til en ekstern server. Angrebet kan køre ubemærket i uger, inden det opdages.

Ofte stillede spørgsmål

Ramte produkter

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
LOW
User Interaction
NONE
Scope
CHANGED
Confidentiality
LOW
Integrity
LOW
Availability
NONE

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

CWE-svaghedstyper

CWE-79

Original NVD-beskrivelse (engelsk)

The Page Builder: Pagelayer – Drag and Drop website builder plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the Anchor block in versions up to, and including, 2.0.9 due to insufficient input sanitization and output escaping. This makes it possible for authenticated attackers, with contributor-level access and above, to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page.

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Moderat
CVSS Base Score
6.4
Visning
Hurtige fakta
CVE-ID
CVE-2026-3297
Offentliggjort
13/06/2026
Sidst opdateret
13/06/2026
Exploit-status
poc_public
Patch-status
available
Tidsfrist
Opdatér inden for 7 dage

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.