CVE-2025-2836

Nome do Software Vulnerável e Versões Afetadas RegistrationMagic – Plugin de Formulários de Registro Personalizados, Registro de Usuários, Pagamento e Login de Usuários para WordPress, versões até a 6.0.4.3, inclusive.

Descrição O problema está relacionado a Cross-Site Scripting Armazenado (Stored XSS) via o parâmetro payment method, devido à sanitização de entrada e escape de saída insuficientes. Isso permite que atacantes autenticados, com acesso de nível de Assinante ou superior, injetem scripts web arbitrários em páginas que serão executados sempre que um usuário acessar uma página injetada.

Recomendações Para as versões até a 6.0.4.3, inclusive, considere desativar o parâmetro payment method até que uma correção esteja disponível para prevenir a exploração. Restrinja o acesso às páginas que utilizam este parâmetro para minimizar o risco de injeção de scripts web arbitrários.