CVE-2025-11161

Nome do Software Vulnerável e Versões Afetadas Versões do WPBakery Page Builder anteriores à 8.6.2

Descrição O plugin WPBakery Page Builder para WordPress está suscetível a Cross-Site Scripting (XSS) Armazenado através do shortcode vc custom heading. Isso é causado por restrição inadequada de tags HTML permitidas e sanitização imprópria de atributos fornecidos pelo usuário dentro do parâmetro font container. Atacantes autenticados com acesso de nível de contribuidor ou superior podem injetar scripts web arbitrários em posts. Esses scripts serão executados quando um usuário acessar uma página injetada usando o shortcode vc custom heading com atributos de tag e texto maliciosos.

Recomendações Atualize o WPBakery Page Builder para a versão 8.6.2 ou posterior.