CVE-2026-8494
Moderat

CVE-2026-8494: XSS i WordPress Permalink Manager Lite

WordPress-plugin Permalink Manager Lite lader bidragydere plante skjult kode, der rammer admins – opdater til nyeste version nu.

CVSS Score
6.4
Offentliggjort
17/06/2026
Patch-status
available
Exploit
poc_public
Tidsfrist
Opdater inden for 7 dage

Hvad er det?

Permalink Manager Lite er et populært WordPress-plugin, der styrer webadresserne (URL’erne) på din hjemmeside. En sårbarhed i versioner op til og med 2.5.3.3 gør det muligt for en bruger med almindelig bidragyder-adgang (Contributor) at gemme ondsindet kode i titlen på et indlæg. Når en administrator efterfølgende åbner plugin-siden i WordPress-administrationen, udføres koden automatisk i administratorens browser. Dette kaldes Stored Cross-Site Scripting (XSS) – altså vedvarende ondsindet scripts gemt på serveren.

Hvem rammer det?

Sårbarheden rammer dig, hvis:

  • Du driver en WordPress-hjemmeside med Permalink Manager Lite installeret i version 2.5.3.3 eller ældre.
  • Din hjemmeside har mere end én bruger – f.eks. bloggere, redaktører eller freelanceskribenter med bidragyder-adgang.
  • Din administrator logger ind og arbejder i WordPress-administrationen regelmæssigt.

Selv en betroet medarbejder med begrænset adgang kan – bevidst eller ved et hacket login – udnytte denne sårbarhed.

Hvad kan ske?

Hvis sårbarheden udnyttes, kan en angriber:

  • Stjæle administratorens session-cookie (en slags midlertidig adgangsnøgle) og dermed overtage hele WordPress-sitet uden at kende adgangskoden.
  • Oprette nye adminbrugere i det skjulte og få fuld kontrol over hjemmesiden.
  • Installere bagdøre (skjulte adgange) eller ondsindet kode på sitet, der spreder sig til besøgende.
  • Ændre eller slette indhold, eksponere kundedata eller sende spam via din side.

Hvor alvorligt er det?

Sårbarheden er vurderet til 6.4 ud af 10 (Moderat) ifølge den internationale CVSS-skala. Det er ikke den højeste score, men den er reel og udnyttelig under normale forhold:

  • Angreb via netværket: Angrebet kræver ikke fysisk adgang – det kan udføres fra hele verden.
  • Lav kompleksitet: Det er teknisk enkelt at udnytte – ingen avancerede færdigheder kræves.
  • Kræver en konto: Angriberen skal have en bidragyder-konto på sitet, hvilket reducerer risikoen lidt.
  • Krydser sikkerhedsgrænser: Koden kører med administratorens rettigheder, selvom angriberen kun har lav adgang.

Hvad gør jeg nu?

Følg disse trin for at beskytte din WordPress-hjemmeside:

  1. Opdater Permalink Manager Lite straks. Log ind i WordPress-administrationen, gå til Plugins → Tilgængelige opdateringer, og opdater til den nyeste version (2.5.3.4 eller nyere).
  2. Gennemgå dine WordPress-brugere. Fjern bidragyder-konti, du ikke genkender eller ikke længere har brug for. Gå til Brugere i administrationspanelet.
  3. Skift adgangskoder på admin-konti. Brug en stærk, unik adgangskode og aktivér to-faktor-godkendelse (ekstra bekræftelse ved login) på alle adminkonti.
  4. Tjek for uautoriserede ændringer. Gennemse seneste indlæg og plugin-indstillinger for mistænkelig kode eller nye ukendte brugere.
  5. Lav en backup. Sørg for at have en aktuel sikkerhedskopi af dit site, inden du foretager ændringer.
Tidsfrist

Opdater inden for 7 dage

Sådan ser Auroa det

Opdater Permalink Manager Lite til nyeste version hurtigst muligt – det er den vigtigste handling. Begræns samtidig antallet af brugere med bidragyder-adgang til kun dem, der reelt har brug for det. Overvej at aktivere to-faktor-godkendelse på alle WordPress-adminkonti, da det gør det langt sværere for angribere at misbruge stjålne loginoplysninger. Har du brug for hjælp til at vurdere din WordPress-sikkerhed, er du velkommen til at kontakte os.

Tidslinje

17/06/2026
CVE offentliggjort
CVE-2026-8494 blev officielt offentliggjort i National Vulnerability Database (NVD) med en CVSS-score på 6.4 (Moderat).
17/06/2026
Sårbarhed afsløret i Permalink Manager Lite
Sikkerhedsforskere identificerede en Stored XSS-sårbarhed i alle versioner op til og med 2.5.3.3 af Permalink Manager Lite-plugin'et til WordPress.
17/06/2026
Patch tilgængelig
En opdateret version af Permalink Manager Lite er frigivet med rettelse af sårbarheden. Brugere opfordres til straks at opdatere via WordPress-administrationen.

Konkrete eksempler

Medarbejder med begrænset adgang overtager admin-konto

En freelanceskribent med bidragyder-adgang opretter et nyt indlæg og indsætter et ondsindet JavaScript-snippet i indlæggets titel. Næste gang administratoren åbner Permalink Manager-siden i WordPress, kører scriptet automatisk i administratorens browser og sender session-cookien til angriberen. Angriberen kan nu logge ind som administrator uden at kende adgangskoden og har fuld kontrol over sitet.

Hacket bidragyder-konto bruges som springbræt

En angriber gætter eller køber adgangskoden til en gammel, glemt bidragyder-konto på en virksomheds WordPress-site. Via denne konto gemmer angriberen skjult kode i et indlæg. Når ejeren logger ind og tjekker plugin-indstillingerne, opretter scriptet automatisk en ny hemmelig admin-bruger. Angriberen har nu adgang til hele sitet og kan eksportere kundelister, installere malware eller låse ejeren ude.

Ondsindet kode spredes til besøgende

Efter at have fået administratoradgang via XSS-angrebet indsætter angriberen yderligere skjult kode i hjemmesidens tema. Denne kode omdirigerer besøgende til svindelsider eller forsøger at installere malware på deres computere. Virksomheden opdager det først, når kunder begynder at klage over mistænkelige sider – og hjemmesidens omdømme og Google-rangering er allerede skadet.

Ofte stillede spørgsmål

Ramte produkter

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
LOW
User Interaction
NONE
Scope
CHANGED
Confidentiality
LOW
Integrity
LOW
Availability
NONE

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

CWE-svaghedstyper

CWE-79

Original NVD-beskrivelse (engelsk)

The Permalink Manager Lite plugin for WordPress is vulnerable to Stored Cross-Site Scripting via post titles in the admin URI Editor interface in all versions up to, and including, 2.5.3.3 due to insufficient output escaping. This makes it possible for authenticated attackers, with Contributor-level access and above, to inject arbitrary web scripts in the admin Permalink Manager page that will execute whenever an administrator accesses the Permalink Manager page.

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Moderat
CVSS Base Score
6.4
Visning
Hurtige fakta
CVE-ID
CVE-2026-8494
Offentliggjort
17/06/2026
Sidst opdateret
17/06/2026
Exploit-status
poc_public
Patch-status
available
Tidsfrist
Opdater inden for 7 dage

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.