CVE-2026-9629: XSS-sårbarhed i Canvas WordPress-plugin
WordPress-plugin Canvas har en sårbarhed, der lader angribere med brugeradgang plante skadelig kode på dit website.
Hvad er det?
Canvas-pluginnet til WordPress indeholder en fejl kaldet Stored Cross-Site Scripting (XSS). Det betyder, at en person med selv en begrænset brugerkonto på dit website kan gemme skadelig kode direkte i dine websiders indhold. Koden udføres automatisk i besøgendes browsere, hver gang de åbner de berørte sider. Fejlen opstår, fordi pluginnet ikke renser det, brugere skriver ind i et felt kaldet ‘tag’, ordentligt. Alle versioner af Canvas op til og med version 2.5.2 er ramt.
Hvem rammer det?
Du er i risikogruppen, hvis dit WordPress-website bruger Canvas-pluginnet i version 2.5.2 eller ældre. Risikoen er særligt relevant, hvis dit site har flere brugere med skriveadgang — for eksempel bloggere, redaktører eller andre bidragydere (det WordPress kalder ‘contributors’ eller højere). Webshops, foreningswebsites, nyhedsmedier og enhver anden WordPress-side med flere loginbrugere bør tjekke dette med det samme.
Hvad kan ske?
En angriber med selv en simpel brugerkonto kan plante skadelig JavaScript-kode på dine websider. Når dine besøgende åbner siden, kører koden i deres browser uden at de opdager det. Det kan føre til:
- Tyveri af login-cookies, så angriberen kan overtage besøgendes konti — herunder potentielt admin-kontoen
- Omdirigering af dine besøgende til farlige eller falske websites
- Phishing-angreb (svindel) udført direkte fra dit eget domæne, som besøgende stoler på
- Skade på dit omdømme, hvis dit site bruges til at angribe dine kunder
Hvor alvorligt er det?
Sårbarheden er vurderet til 6.4 ud af 10 (Moderat) af det internationale sikkerhedsorgan NVD. Den kræver, at angriberen allerede har en brugerkonto på dit site — det sænker risikoen en smule. Til gengæld kræver angrebet ingen særlige tekniske færdigheder, og det rammer alle, der besøger dine sider. På sites med åben brugerregistrering eller mange redaktørkonti er risikoen i praksis højere end scoren antyder.
Hvad gør jeg nu?
Følg disse trin for at beskytte dit WordPress-site:
- Opdatér Canvas-pluginnet straks til en version nyere end 2.5.2. Log ind på dit WordPress-dashboard, gå til Plugins → Installerede plugins, og klik ‘Opdatér’ ud for Canvas.
- Tjek dine brugerkonti. Gennemgå hvem der har adgang til dit site og fjern konti, der ikke længere er i brug. Begræns antallet af brugere med skriveadgang (contributor-niveau eller højere).
- Slå pluginnet midlertidigt fra, hvis en opdatering ikke er tilgængelig endnu, og din side ikke er afhængig af det til daglig drift.
- Gennemse eksisterende indhold for tegn på indsat fremmed kode — særligt indlæg eller sider oprettet af brugere med begrænset adgang.
- Kontakt din webmaster eller IT-leverandør, hvis du er i tvivl om, hvordan du udfører ovenstående trin.
Opdatér inden for 1-2 dage
Opdatér Canvas-pluginnet til den nyeste version så hurtigt som muligt — helst i dag. Selvom angrebet kræver en brugerkonto, er det en lav barriere på sites med åben registrering eller mange redaktører. Kombinér opdateringen med en hurtig gennemgang af dine brugerkonti, så du fjerner unødvendig adgang og mindsker din angrebsflade fremover.
Tidslinje
Konkrete eksempler
Angriberen opretter en gratis konto og planter kode
Dit WordPress-site tillader fri brugerregistrering. En angriber opretter en gratis konto, logger ind og opretter et blogindlæg med skadelig JavaScript-kode gemt i et Canvas-felt. Hver gang en besøgende — eller din egen administrator — åbner indlægget, kører koden i deres browser og sender deres login-cookie til angriberen. Angriberen kan nu overtage adminadgangen til dit site.
En tidligere medarbejder udnytter sin gamle konto
En tidligere freelance-skribent har stadig sin bidragyder-konto på dit site. Vedkommende logger ind og redigerer en eksisterende, populær side ved at indlejre kode via Canvas-pluginnet. Siden ser normal ud, men koden omdirigerer i det skjulte dine besøgende til en falsk loginside, der stjæler deres adgangskoder. Fordi angrebet sker fra dit eget domæne, stoler brugerne på siden.
Phishing-angreb via dit troværdige domæne
En angriber med skriveadgang indlejrer kode, der viser en falsk pop-up besked til besøgende — f.eks. ‘Din session er udløbet, log ind igen’. Brugerne indtaster deres oplysninger, som sendes direkte til angriberen. Fordi beskeden vises på dit eget, kendte website, er det svært for brugerne at gennemskue svindlen, og dit omdømme lider alvorlig skade.
Ofte stillede spørgsmål
Hvad er Cross-Site Scripting (XSS)?
Cross-Site Scripting er en type angreb, hvor en angriber gemmer skadelig kode på et website. Koden kører automatisk i besøgendes browsere og kan fx stjæle loginoplysninger eller omdirigere brugere til farlige sider — alt sammen uden at nogen opdager det med det blotte øje.
Skal angriberen have en brugerkonto på mit site for at udnytte fejlen?
Ja. Angriberen skal minimum have en ‘contributor’-konto (bidragyder) på dit WordPress-site. Det betyder, at tilfældige besøgende udefra ikke kan udnytte fejlen direkte — men det er en lav barriere, hvis dit site tillader fri brugerregistrering, eller hvis en medarbejder eller tidligere samarbejdspartner stadig har adgang.
Hvordan ved jeg, om jeg bruger Canvas-pluginnet?
Log ind på dit WordPress-dashboard og gå til Plugins → Installerede plugins. Søg efter ‘Canvas’ på listen. Her kan du også se, hvilken version du kører. Er du på version 2.5.2 eller ældre, er du ramt og bør opdatere straks.
Er mine besøgende i fare lige nu?
Kun hvis en angriber allerede har udnyttet fejlen og plantet skadelig kode på dine sider. Vi anbefaler, at du opdaterer pluginnet og gennemser nyligt oprettet eller redigeret indhold fra brugere med begrænset adgang. Finder du noget mistænkeligt, bør du kontakte en IT-sikkerhedsekspert.
Hvad sker der, hvis jeg ikke opdaterer?
Dit site forbliver sårbart, og risikoen vokser over tid — jo flere der kender til fejlen, jo større er sandsynligheden for misbrug. Angribere kan bruge dit website til at angribe dine egne besøgende, hvilket kan skade dit omdømme og potentielt gøre dig ansvarlig over for kunder og samarbejdspartnere.
Koster opdateringen noget?
Det afhænger af, om Canvas er et gratis eller betalt plugin på dit site. Selve WordPress-opdateringsprocessen er gratis og tager typisk under et minut. Har du en webmaster eller en managed WordPress-hostingløsning, kan du kontakte dem og bede dem håndtere opdateringen.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
The Canvas plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the ‘tag’ parameter in all versions up to, and including, 2.5.2 due to insufficient input sanitization and output escaping. This makes it possible for authenticated attackers, with contributor-level access and above, to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
