CVE-2026-4076

Name of the Vulnerable Software and Affected Versions Slider Bootstrap Carousel versões anteriores a 1.0.8

Description O Cross-Site Scripting Armazenado é possível devido à sanitização de entrada e escape de saída insuficientes de atributos de shortcode fornecidos pelo usuário. O plugin utiliza a função extract() em shortcode atts() para analisar atributos, permitindo que a variável category seja inserida diretamente em atributos HTML (id, data-target, href) e a variável template seja inserida em um atributo de classe sem o escape adequado. Atacantes autenticados com nível de acesso Colaborador ou superior podem injetar scripts web arbitrários em páginas que serão executados quando acessados por outros usuários.

Recommendations Atualize para uma versão posterior a 1.0.7. Como medida paliativa temporária, restrinja o uso dos atributos category e template em shortcodes para usuários com privilégios administrativos mais elevados.