CVE-2026-2505

Name of the Vulnerable Software and Affected Versions Categories Images plugin for WordPress versões anteriores a 3.3.2

Description O plugin está sujeito a Stored Cross-Site Scripting através do shortcode 'z taxonomy image'. O problema ocorre porque o caminho de renderização do shortcode passa a entrada de classe controlada pelo invasor para um construtor de imagem de fallback que concatena atributos HTML sem a devida filtragem. Isso permite que invasores autenticados com acesso de nível Contributor ou superior injetem scripts web arbitrários que são executados quando os usuários interagem com a página frontend injetada por meio do atributo de shortcode class.

Recommendations Atualize o plugin para uma versão posterior a 3.3.1. Como medida paliativa temporária, restrinja o uso do atributo class dentro do shortcode 'z taxonomy image'.