CVE-2026-9629
Moderat

CVE-2026-9629: XSS-sårbarhed i Canvas WordPress-plugin

WordPress-plugin Canvas har en sårbarhed, der lader angribere med brugeradgang plante skadelig kode på dit website.

CVSS Score
6.4
Offentliggjort
13/06/2026
Patch-status
available
Exploit
poc_public
Tidsfrist
Opdatér inden for 1-2 dage

Hvad er det?

Canvas-pluginnet til WordPress indeholder en fejl kaldet Stored Cross-Site Scripting (XSS). Det betyder, at en person med selv en begrænset brugerkonto på dit website kan gemme skadelig kode direkte i dine websiders indhold. Koden udføres automatisk i besøgendes browsere, hver gang de åbner de berørte sider. Fejlen opstår, fordi pluginnet ikke renser det, brugere skriver ind i et felt kaldet ‘tag’, ordentligt. Alle versioner af Canvas op til og med version 2.5.2 er ramt.

Hvem rammer det?

Du er i risikogruppen, hvis dit WordPress-website bruger Canvas-pluginnet i version 2.5.2 eller ældre. Risikoen er særligt relevant, hvis dit site har flere brugere med skriveadgang — for eksempel bloggere, redaktører eller andre bidragydere (det WordPress kalder ‘contributors’ eller højere). Webshops, foreningswebsites, nyhedsmedier og enhver anden WordPress-side med flere loginbrugere bør tjekke dette med det samme.

Hvad kan ske?

En angriber med selv en simpel brugerkonto kan plante skadelig JavaScript-kode på dine websider. Når dine besøgende åbner siden, kører koden i deres browser uden at de opdager det. Det kan føre til:

  • Tyveri af login-cookies, så angriberen kan overtage besøgendes konti — herunder potentielt admin-kontoen
  • Omdirigering af dine besøgende til farlige eller falske websites
  • Phishing-angreb (svindel) udført direkte fra dit eget domæne, som besøgende stoler på
  • Skade på dit omdømme, hvis dit site bruges til at angribe dine kunder

Hvor alvorligt er det?

Sårbarheden er vurderet til 6.4 ud af 10 (Moderat) af det internationale sikkerhedsorgan NVD. Den kræver, at angriberen allerede har en brugerkonto på dit site — det sænker risikoen en smule. Til gengæld kræver angrebet ingen særlige tekniske færdigheder, og det rammer alle, der besøger dine sider. På sites med åben brugerregistrering eller mange redaktørkonti er risikoen i praksis højere end scoren antyder.

Hvad gør jeg nu?

Følg disse trin for at beskytte dit WordPress-site:

  1. Opdatér Canvas-pluginnet straks til en version nyere end 2.5.2. Log ind på dit WordPress-dashboard, gå til Plugins → Installerede plugins, og klik ‘Opdatér’ ud for Canvas.
  2. Tjek dine brugerkonti. Gennemgå hvem der har adgang til dit site og fjern konti, der ikke længere er i brug. Begræns antallet af brugere med skriveadgang (contributor-niveau eller højere).
  3. Slå pluginnet midlertidigt fra, hvis en opdatering ikke er tilgængelig endnu, og din side ikke er afhængig af det til daglig drift.
  4. Gennemse eksisterende indhold for tegn på indsat fremmed kode — særligt indlæg eller sider oprettet af brugere med begrænset adgang.
  5. Kontakt din webmaster eller IT-leverandør, hvis du er i tvivl om, hvordan du udfører ovenstående trin.
Tidsfrist

Opdatér inden for 1-2 dage

Sådan ser Auroa det

Opdatér Canvas-pluginnet til den nyeste version så hurtigt som muligt — helst i dag. Selvom angrebet kræver en brugerkonto, er det en lav barriere på sites med åben registrering eller mange redaktører. Kombinér opdateringen med en hurtig gennemgang af dine brugerkonti, så du fjerner unødvendig adgang og mindsker din angrebsflade fremover.

Tidslinje

13/06/2026
CVE offentliggjort
Sårbarheden CVE-2026-9629 i Canvas-pluginnet til WordPress blev officielt registreret og offentliggjort i NVD-databasen med en CVSS-score på 6.4 (Moderat).
13/06/2026
Tekniske detaljer tilgængelige
De tekniske detaljer om sårbarheden — herunder det ramte parameter ('tag') og betingelserne for udnyttelse — blev gjort offentligt tilgængelige, hvilket øger risikoen for, at angribere begynder at forsøge angreb.
13/06/2026
Patch forventet tilgængelig
En opdateret version af Canvas-pluginnet, der retter fejlen, forventes frigivet i forbindelse med offentliggørelsen. Brugere bør opdatere til den seneste version hurtigst muligt via WordPress-dashboardet.

Konkrete eksempler

Angriberen opretter en gratis konto og planter kode

Dit WordPress-site tillader fri brugerregistrering. En angriber opretter en gratis konto, logger ind og opretter et blogindlæg med skadelig JavaScript-kode gemt i et Canvas-felt. Hver gang en besøgende — eller din egen administrator — åbner indlægget, kører koden i deres browser og sender deres login-cookie til angriberen. Angriberen kan nu overtage adminadgangen til dit site.

En tidligere medarbejder udnytter sin gamle konto

En tidligere freelance-skribent har stadig sin bidragyder-konto på dit site. Vedkommende logger ind og redigerer en eksisterende, populær side ved at indlejre kode via Canvas-pluginnet. Siden ser normal ud, men koden omdirigerer i det skjulte dine besøgende til en falsk loginside, der stjæler deres adgangskoder. Fordi angrebet sker fra dit eget domæne, stoler brugerne på siden.

Phishing-angreb via dit troværdige domæne

En angriber med skriveadgang indlejrer kode, der viser en falsk pop-up besked til besøgende — f.eks. ‘Din session er udløbet, log ind igen’. Brugerne indtaster deres oplysninger, som sendes direkte til angriberen. Fordi beskeden vises på dit eget, kendte website, er det svært for brugerne at gennemskue svindlen, og dit omdømme lider alvorlig skade.

Ofte stillede spørgsmål

Ramte produkter

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
LOW
User Interaction
NONE
Scope
CHANGED
Confidentiality
LOW
Integrity
LOW
Availability
NONE

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

CWE-svaghedstyper

CWE-79

Original NVD-beskrivelse (engelsk)

The Canvas plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the ‘tag’ parameter in all versions up to, and including, 2.5.2 due to insufficient input sanitization and output escaping. This makes it possible for authenticated attackers, with contributor-level access and above, to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page.

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Moderat
CVSS Base Score
6.4
Visning
Hurtige fakta
CVE-ID
CVE-2026-9629
Offentliggjort
13/06/2026
Sidst opdateret
13/06/2026
Exploit-status
poc_public
Patch-status
available
Tidsfrist
Opdatér inden for 1-2 dage

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.