CVE-2026-4336

Name of the Vulnerable Software and Affected Versions O plugin Ultimate FAQ Accordion para WordPress versões até 2.4.7

Description O plugin Ultimate FAQ Accordion para WordPress é suscetível a Cross-Site Scripting Armazenado através do conteúdo de FAQs. Isso ocorre porque o plugin usa html entity decode() no conteúdo da postagem durante a renderização na função set display variables() (View.FAQ.class.php, linha 746), que converte payloads codificados em entidades HTML de volta para HTML executável. Escapamento de saída insuficiente no template faq-answer.php, onde o conteúdo decodificado é ecoado sem wp kses post() ou outra sanitização, contribui ainda mais para o problema. O tipo de postagem personalizado ufaq é registrado com show in rest definido como true e assume por padrão o tipo de capacidade post, permitindo que usuários com nível de Autor criem e publiquem FAQs via REST API. Um invasor com acesso de nível de Autor ou superior pode enviar HTML malicioso codificado em entidades (por exemplo, <img src=x onerror=alert()>) que ignora a sanitização kses do WordPress no momento da gravação, mas é então decodificado de volta para HTML executável no momento da renderização. Isso permite a injeção de scripts web arbitrários em páginas de FAQ que são executados quando um usuário acessa a FAQ injetada, seja diretamente ou através do shortcode [ultimate-faqs].

Recommendations Atualize para uma versão posterior a 2.4.7.