CVE-2026-6433

Nome do Software Vulnerável e Versões Afetadas Custom css-js-php versões anteriores a 2.0.8

Descrição O plugin não sanitiza adequadamente a entrada do usuário antes de incorporá-la em uma consulta SQL. O resultado é então passado para a função eval(), o que permite que usuários não autenticados executem código PHP arbitrário no servidor. Este processo envolve uma injeção de SQL (SQLi) que leva à Execução Remota de Código (RCE), onde um invasor pode executar comandos no sistema operacional host a partir de uma máquina remota.

Recomendações Atualize para uma versão posterior à 2.0.7.