CVE-2026-4074

Name of the Vulnerable Software and Affected Versions Quran Live Multilanguage plugin for WordPress versões anteriores a 1.0.4

Description O Cross-Site Scripting Armazenado é possível devido à sanitização de entrada e escape de saída insuficientes nos atributos de shortcode fornecidos pelo usuário. A função quran live render() em quran-live.php recebe atributos e os passa através de shortcode atts() e extract() sem sanitização. Esses valores são então passados para Render Quran Live::render verse quran live() e ecoados diretamente em blocos e lang. Isso permite que atacantes autenticados com nível de acesso Colaborador ou superior injetem scripts web arbitrários que são executados quando um usuário acessa a página afetada.

Recommendations Atualize o plugin para uma versão posterior a 1.0.3.