CVE-2026-4025

Nome do Software Vulnerável e Versões Afetadas PrivateContent Free versões até e incluindo 1.2.0

Descrição O plugin PrivateContent Free para WordPress é suscetível a Cross-Site Scripting Armazenado através do atributo 'align' do shortcode dentro do shortcode [pc-login-form]. Isso ocorre devido à sanitização e escape de saída insuficientes no atributo align. O valor do atributo é passado do shortcode através da função pc login form() para a função pc static::form align(), onde é diretamente adicionado a um atributo de classe HTML sem escape adequado. Isso permite que atacantes autenticados com acesso de nível de Contributor ou superior injetem scripts web maliciosos em páginas, que serão executados quando um usuário visitar a página afetada.

Recomendações Atualize o PrivateContent Free para uma versão posterior à 1.2.0.